GNU/Linux >> Tutoriales Linux >  >> Linux

Cómo:ataque de amplificación del servidor de nombres de dominio (DNS)

Introducción

Un ataque de amplificación del servidor de nombres de dominio (DNS) es una forma popular de denegación de servicio distribuida (DDoS), en la que los atacantes usan servidores DNS abiertos de acceso público para inundar un sistema de destino con tráfico de respuesta DNS. La técnica principal consiste en que un atacante envíe una solicitud de búsqueda de nombre DNS a un servidor DNS abierto con la dirección de origen suplantada para que sea la dirección del objetivo.

referencia:https://www.us-cert.gov/ncas/alerts/TA13-088A

Deshabilitar la recursividad en servidores de nombres autorizados

Muchos de los servidores DNS actualmente implementados en Internet están destinados exclusivamente a proporcionar resolución de nombres para un solo dominio. En estos sistemas, la resolución de DNS para sistemas de clientes privados puede ser proporcionada por un servidor separado y el servidor autorizado actúa solo como una fuente de DNS de información de zona para clientes externos. No es necesario que estos sistemas admitan la resolución recursiva de otros dominios en nombre de un cliente y deben configurarse con la recursividad deshabilitada.

Enlazar9

Agregue lo siguiente a las opciones globales:

options {
 allow-query-cache { none; };
 recursion no;
 };

Servidor DNS de Microsoft

En la herramienta de consola DNS de Microsoft:

  1. Haga clic derecho en el servidor DNS y haga clic en Propiedades.
  2. Haga clic en la pestaña Avanzado.
  3. En las opciones del servidor, seleccione la casilla de verificación "Desactivar recursividad" y luego haga clic en Aceptar.

Limitar la recurrencia a clientes autorizados

Para los servidores DNS que se implementan dentro de una organización o proveedor de servicios de Internet, la resolución debe configurarse para realizar consultas recursivas solo en nombre de clientes autorizados. Por lo general, estas solicitudes solo deben provenir de clientes dentro del rango de direcciones de red de la organización. Recomendamos enfáticamente que todos los administradores de servidores restrinjan la recursividad solo a los clientes en la red de la organización.

ENLACE9

En las opciones globales, incluya lo siguiente:

acl corpnets { 192.168.1.0/24; 192.168.2.0/24; };
options {
allow-query { any; };
allow-recursion { corpnets; };
};

Servidor DNS de Microsoft

Actualmente no es posible restringir las solicitudes de DNS recursivas a un rango de direcciones de clientes en particular en el servidor DNS de Microsoft. Para aproximar la funcionalidad de las listas de control de acceso de BIND en el servidor DNS de Microsoft, se debe configurar internamente un servidor de nombres solo de almacenamiento en caché diferente para proporcionar una resolución recursiva. Se debe crear una regla de firewall para bloquear el acceso entrante al servidor de solo almacenamiento en caché desde fuera de la red de la organización. La funcionalidad del servidor de nombres autoritativo tendría que hospedarse en un servidor separado, pero configurarse para deshabilitar la recursividad como se describió anteriormente.

Limitación de la tasa de respuesta (RRL)

Actualmente hay una función experimental disponible como un conjunto de parches para BIND9 que permite a un administrador limitar el número máximo de respuestas por segundo que se envían a un cliente desde el servidor de nombres. Esta funcionalidad está pensada para usarse en servidores de nombres de dominio autorizados solo, ya que afectará el rendimiento de los solucionadores recursivos. Para brindar la protección más efectiva, recomendamos que los servidores de nombres autorizados y recursivos se ejecuten en diferentes sistemas, con RRL implementado en el servidor autorizado y listas de control de acceso implementadas en el servidor recursivo. Esto reducirá la efectividad de los ataques de amplificación de DNS al reducir la cantidad de tráfico que proviene de cualquier servidor autorizado único sin afectar el rendimiento de los resolutores recursivos internos.

ENLACE9

Actualmente hay parches disponibles para 9.8.latest y 9.9.latest para admitir RRL en sistemas UNIX. Red Hat ha puesto a disposición paquetes actualizados para Red Hat Enterprise Linux 6 para proporcionar los cambios necesarios en el aviso RHSA-2013:0550-1. En la implementación de BIND9 que ejecuta los parches RRL, incluya las siguientes líneas en el bloque de opciones de las vistas autorizadas:

rate-limit {
 responses-per-second 5;
 window 5;
 };

Servidor DNS de Microsoft

Esta opción no está disponible actualmente para Microsoft DNS Server.


Linux

  1. ¿Cómo identificar el nombre del software del servidor DNS remoto y su versión?

  2. ¿Cómo aparcar un dominio?

  3. Cómo cambiar el nombre de un dominio

  4. ¿Cómo uso el Administrador de DNS básico?

  5. ¿Cómo registro el servidor Linux con el servidor DNS de Windows?

Cómo instalar el rol de DNS en Windows Server 2012

Cómo:unir un Windows Server 2012 a un dominio

Cómo configurar DNS en Windows Server 2012

Cómo crear un controlador de dominio en Linux para AD

Cómo instalar y configurar el servidor DNS en Linux

¿Qué es el DNS y cómo funciona el DNS? (Fundamentos del servidor de nombres de dominio)