Det er en ny art av Distributed Denial of Service (DDoS) angrep rettet mot navnetjenere, som kan kalles "tull navnet" angrep. Det kan skape kaos på rekursive og autoritative navnetjenere like, og noen av våre kunder i Infoblox har falt offer for det -., Men det er ikke alltid klart om de var faktisk de målene
"tull navnet" DDoS angrep fungerer slik:
- en angriper velger en sone for å angripe, sier foo.example - en botnet kontrolleres av angriperen genererer tilfeldige domenenavn i. sonen, med tull første etiketter, for eksempel asdfghjk.foo.example Hotell og zxcvbnm.foo.example -. De som samler sende mange forespørsler for disse domenenavnene til rekursive navnetjenere -.. De rekursive navnetjenere i sin tur sender forespørsler til foo.example - Den autoritative navnetjenere sende svar som sier at domenenavnene i spørsmålet ikke eksisterer (i DNS-bedrift, det som kalles en NXDOMAIN respons) -. de rekursive navnetjenere relé som svar på den opprinnelige querier og cache ikke-eksistens av domenenavnet -.. Skum, skyll, gjenta Hvis angriperen kan generere spørringer raskt nok, den samlede spør renten vil overvelde foo.example - De roboter fortsette å sende forespørsler for de genererte domenenavn til rekursive navnetjenere - Nå som de autoritative navnetjenere har sluttet å reagere, de rekursive navnetjenere. ta mye lengre tid å behandle hvert søk. I tilfelle av BIND navnetjener, kan navnet serveren vent i 30 sekunder og sende dusinvis av (ubesvarte) spørsmål før du gir opp -. Dette bruker opp rekursive spør sporene på den rekursive navnetjener, som til slutt går . ut, å nekte ekstra rekursive spørringer - noen av dem legitime Når dette skjer, sender en BIND navneserver en melding som dette til syslog 21 januar 14:44:00 ns1 heter [4242]: klient 192.168.0.1 # 1110: ingen flere rekursive kunder: kvoten~~POS=HEADCOMP har nådd på dette punktet, servernavnet vil nekte flere rekursive spørringer, å nekte service til kundene <. br> Hvem er målet? i de fleste tilfeller organisasjonen kjører autoritative navnetjenere (i dette eksempelet, de for foo.example Vi har sett noen bevis for dette. Noen av de involverte i angrepene mot våre kunder har på mystisk vis forsvant en dag eller to etter angrepet soner, noe som indikerer at de sannsynligvis ikke var i aktiv bruk (og faktisk ble trolig registrert i en "Domain smaker" ordningen). Angriperne kunne ha bevisst registrert disse sonene med treg eller ikke svarer navnetjenere, slik at oppløsningen av domenenavn i sonen ville ta så lenge som mulig. Selvfølgelig, uavhengig av målet, mekanismen bak angrepet forblir akkurat det samme. Begrensning Generelt, vil du legge merke til en tull navn angrep når rekursiv navnetjener begynner å gå ut av rekursive spørspilleautomater, som dokumentert av syslog Først, spør deg selv om IP-adresser i meldingene er adressene ditt navn server skal bli servering. Hvis ikke, kan du være i stand til å bare sette navnet server med en tilgangskontrollisten for å begrense søkene til autoriserte queriers. Hvis den skadelige henvendelser kommer fra legitime IP-adresser, klart du må bruke en annen mekanisme. En mulighet er å bruke BIND er veldig praktisk Responspolitikk Zones funksjonen til midlertidig hindre at navneserver fra å sende forespørsler til plagsom sone. En RPZ regel for å hindre at navnetjener fra å se opp foo.example * foo.example.your.rpz.zone. I administrasjon. Du må også angi et alternativ som heter QName-vente-recurse Hvis rekursive navn servere kjører ikke BIND 9,10 ennå (den første versjonen av BIND som støtter dette alternativet), eller ikke kjøre BIND i det hele tatt, kan du fortsatt midlertidig satt opp en tom foo.example @ I SOA ns1 root 2015010700 1t 15m 30d 10m I NS ns1 Konfigurer rekursive navnetjener som autoritativ for sone- -En øvelse overlates til leseren - og det vil bare svare på de fleste spørsmål for foo.example Bare husk at RPZ regler eller sonekonfigurasjon er midlertidig. Etter angrepet er over, må du fjerne dem for å være i stand til å løse domenenavn i sonen igjen. Den gode folk på Internet Systems Consortium, som utvikler BIND navneserver, jobber også med nye mekanismer for å løse problemet mer subtilt, ved å innføre to nye konfigurasjonsalternativer: henter per server Hotell og henter-per-sonen hentinger. -per-server Mellom disse to funksjonene, bør administratorer kunne redusere sjanse for at deres BIND navnetjenere vil bli ofre - utilsiktet eller ikke -. nonsens navn DDoS angrep som disse
's autoritative navnetjenere for disse domenenavnene
navnetjenere. Det er da moroa virkelig begynner:
:
) synes å Bethe mål. For eksempel, er noen av de domenenavnene i angrep vi har sett brukt av kinesiske gamblingsider. (Kanskje noen prøver å ta hevn på huset for noen tøffe tap?) Men den rekursive navnetjenere involvert ende opp som sikkerhet skader i angrepet. Kunne de faktisk har vært målene?
melding tidligere. Disse meldingene gir IP-adressene til queriers nektet adgang av mangel på plasser.
domenenavn kan være så enkelt som:.
til nei (
for mer informasjon om disse alternativene klikk her). Dette vil føre til at navnetjener for å svare på spørsmål for domenenavn i foo.example
med NXDOMAIN uten å spørre foo.example
navnetjenere.
sone for å hindre at nevne serveren prøver å slå opp data i misbehaving en. Sonen datafil vil være minimal:
domenenavn med NXDOMAIN (unntatt spørringer for foo.example
's SOA eller NS posten , selvsagt).
setter en grense på antall samtidige spørringer en rekursiv navnetjener kan ha utestående til en enkelt autoritative navneserver. Den pålagt begrensning er faktisk dynamisk, og nedjustert basert på timeouts opplevde da spør den autoritative navnetjener. Henter per sone
setter en grense på antall samtidige spørringer en rekursiv navnetjener kan ha enestående for en enkelt sone.