iT邦幫忙

0

對外DNS被攻擊該怎麼辦?

作業系統: Windows 2003 R2
Service Pack: SP2
問題描述:
從Firewall中發現大量DNS UDP的連線(傳送大小為1600Bytes的Request),要求我DNS回應網域doc.gov的資料(讓DNS Server需回覆大小為32475Bytes的資料)駭客
狀況:
導致FTTB 2Mb/2Mb線路上傳頻寬塞爆,網路癱瘓!驚
目前作法:
1.先取消DNS的遞迴查詢功能,並清除Cache
2.限制單一來源IP最大Connections上限為128
這樣我DNS Server只需回覆1600Bytes以下的資料,上載頻寬也可壓在10%左右!汗
3.回報Hinet請求協助,它叫我報警....Orz
未來暫時的作法:
1.將對外DNS代管給ISP或移至分公司的Server上
2.關閉目前Server的對外DNS Tcp/Udp Port

不知各位大大有沒有其他的建議可供參考,感謝幫忙!!謝謝

12
門神JanusLin
iT邦超人 1 級 ‧ 2013-04-15 15:37:46
最佳解答

停用遞迴和轉寄站就可以了

看更多先前的回應...收起先前的回應...

已經停用了,但因連入的DNS UDP Connecitons量太大,在沒有限制單一IP
Connections時,還會造成Firewall CPU接近100%,雖然沒當,但慢~~
問題是它還是不斷的攻擊,目前攻擊的Connections大概維持在300~600之間,所以頻寬還是會被吃掉10%左右...
不知有沒有判法從Firewall或從Server上判斷超過512Bytes以上的DNS UDP Connections就直接丟棄或阻絕掉?

查查看你現有的Firewall可不可以設定Policy單一IP service port udp 53 session/ip
我家的有此功能

我家的Firewall無法針對Service來限制,但可針對來源或目的的IP來限制Session數
目前是設定128,是可以考慮再調小.

也有考慮換新的Firewall,新的就可以針對單一Access Rule來限制單一IP Session
數,也等於可以針對Service來限制.

zyman2008 iT邦大師 7 級 ‧ 2013-04-15 19:07:20 檢舉

UDP 進來的 traffic, 要靠 ISP 才能擋.
Server 回去的 packet, 如果前端有 UTM or IPS, 應該可以自訂 rule drop 掉.

DNS UDP Packet是可以drop掉的,但目前仍有對外服務,如果drop掉,就沒法回應domain中的資料了,

zyman2008 iT邦大師 7 級 ‧ 2013-04-16 08:15:34 檢舉

我指的是,只drop掉root hint的reply,而非全部drop.
BIND DNS可以透過disable recursion和additional-from-cache,做到只回自己host的DNS domain的query.
但Windows DNS只能disable recursion,所以對方來問其他domain,還是會回root hint.
這還是會消耗 upload 頻寬.

了解了,感謝,這是個好方法,我再測看看,謝啦~~謝謝

我Deny掉root hint之後,有幫助,被攻擊回應的資料從1600Bytes降至900Bytes以下,
不過可惡的是,攻擊的Connections量增加了,又多了一堆不同的IP進來,現在
Firewall CPU飆到80%以上了...暈

zyman2008 iT邦大師 7 級 ‧ 2013-04-16 13:49:31 檢舉

遇到這種UDP DDos最麻煩,上游(ISP)不做事,下游只有挨打的份.
就算把DNS host到外面,攻擊者硬要往你的IP address灌,頻寬和firewall CPU還是會被灌爆.
打電話問刑事警察局偵九隊,遇到這事能怎麼辦?

目前已將對外DNS移走,調整Firewall設定,不理它了...呵偷笑
不過昨天又遇到駭客攻擊另一個地方的Firewall驚,覺得奇怪,那個地方沒有對外的DNS Server呀,結果......... Zyxel USG 200內建DNS服務......暈
處理方式:
1.改掉Firewall WAN IP
2.調整Firewall DNS設定(只予許LAN Subnet才可查詢,因為找不到地方關掉)
3.調整VPN設定...終於逃過一劫~~汗

zyman2008 iT邦大師 7 級 ‧ 2013-04-18 09:27:34 檢舉

可能貴司生意做太大了,成了箭靶.

我反查那些攻擊的IP發現,有來自美國的、南美的、英國的、北歐的、中國的....
我比較好奇的是:
1.那些來源是利用殭屍電腦還是偽造的IP?
2.它如何選定攻擊目標?

12
cafebug
iT邦高手 2 級 ‧ 2013-04-15 14:48:41

DNS屬於重要的基本核心網路服務, 建議對外的DNS服務不要放在公司內部SERVER上, 建議放置在外頭一些可靠的專業DNS hosting provider上面, 這樣可以避免一旦公司網路斷線或發生狀況, 至少外頭的人還可以解析到你們家的DNS資料, 你們公司的DNS不會人間蒸發 :D

我用過便宜且可靠的DNS hosting provider:

  1. Dyn.com: http://www.dyn.com/ --> 你們只要選擇"Dyn Standard DNS"就很足夠了(一年一個Zone才29.95美金) --> preferred
  2. No-ip.com: http://www.no-ip.com/

參考一下摟..

CalvinKuo iT邦大師 7 級 ‧ 2013-04-15 15:40:27 檢舉

流量不大,那是之後因需求申請的.com domain,平常只有少數的mail及dns的流量

6
holt
iT邦新手 4 級 ‧ 2013-04-16 08:22:34

可以考慮使用 www.cloudflare.com 作為第三方DNS。 優點是具有CDN解決小頻寬的問題,還有就是更換ip 的對應時間最快5 分鐘就可以生效。 最後是抗攻擊。

我要發表回答

立即登入回答