作業系統: Windows 2003 R2
Service Pack: SP2
問題描述:
從Firewall中發現大量DNS UDP的連線(傳送大小為1600Bytes的Request),要求我DNS回應網域doc.gov的資料(讓DNS Server需回覆大小為32475Bytes的資料)
狀況:
導致FTTB 2Mb/2Mb線路上傳頻寬塞爆,網路癱瘓!
目前作法:
1.先取消DNS的遞迴查詢功能,並清除Cache
2.限制單一來源IP最大Connections上限為128
這樣我DNS Server只需回覆1600Bytes以下的資料,上載頻寬也可壓在10%左右!
3.回報Hinet請求協助,它叫我報警....
未來暫時的作法:
1.將對外DNS代管給ISP或移至分公司的Server上
2.關閉目前Server的對外DNS Tcp/Udp Port
不知各位大大有沒有其他的建議可供參考,感謝幫忙!!
停用遞迴和轉寄站就可以了
已經停用了,但因連入的DNS UDP Connecitons量太大,在沒有限制單一IP
Connections時,還會造成Firewall CPU接近100%,雖然沒當,但慢~~
問題是它還是不斷的攻擊,目前攻擊的Connections大概維持在300~600之間,所以頻寬還是會被吃掉10%左右...
不知有沒有判法從Firewall或從Server上判斷超過512Bytes以上的DNS UDP Connections就直接丟棄或阻絕掉?
查查看你現有的Firewall可不可以設定Policy單一IP service port udp 53 session/ip
我家的有此功能
我家的Firewall無法針對Service來限制,但可針對來源或目的的IP來限制Session數
目前是設定128,是可以考慮再調小.
也有考慮換新的Firewall,新的就可以針對單一Access Rule來限制單一IP Session
數,也等於可以針對Service來限制.
UDP 進來的 traffic, 要靠 ISP 才能擋.
Server 回去的 packet, 如果前端有 UTM or IPS, 應該可以自訂 rule drop 掉.
DNS UDP Packet是可以drop掉的,但目前仍有對外服務,如果drop掉,就沒法回應domain中的資料了,
我指的是,只drop掉root hint的reply,而非全部drop.
BIND DNS可以透過disable recursion和additional-from-cache,做到只回自己host的DNS domain的query.
但Windows DNS只能disable recursion,所以對方來問其他domain,還是會回root hint.
這還是會消耗 upload 頻寬.
了解了,感謝,這是個好方法,我再測看看,謝啦~~
我Deny掉root hint之後,有幫助,被攻擊回應的資料從1600Bytes降至900Bytes以下,
不過可惡的是,攻擊的Connections量增加了,又多了一堆不同的IP進來,現在
Firewall CPU飆到80%以上了...
遇到這種UDP DDos最麻煩,上游(ISP)不做事,下游只有挨打的份.
就算把DNS host到外面,攻擊者硬要往你的IP address灌,頻寬和firewall CPU還是會被灌爆.
打電話問刑事警察局偵九隊,遇到這事能怎麼辦?
目前已將對外DNS移走,調整Firewall設定,不理它了...呵
不過昨天又遇到駭客攻擊另一個地方的Firewall,覺得奇怪,那個地方沒有對外的DNS Server呀,結果......... Zyxel USG 200內建DNS服務......
處理方式:
1.改掉Firewall WAN IP
2.調整Firewall DNS設定(只予許LAN Subnet才可查詢,因為找不到地方關掉)
3.調整VPN設定...終於逃過一劫~~
可能貴司生意做太大了,成了箭靶.
我反查那些攻擊的IP發現,有來自美國的、南美的、英國的、北歐的、中國的....
我比較好奇的是:
1.那些來源是利用殭屍電腦還是偽造的IP?
2.它如何選定攻擊目標?
DNS屬於重要的基本核心網路服務, 建議對外的DNS服務不要放在公司內部SERVER上, 建議放置在外頭一些可靠的專業DNS hosting provider上面, 這樣可以避免一旦公司網路斷線或發生狀況, 至少外頭的人還可以解析到你們家的DNS資料, 你們公司的DNS不會人間蒸發 :D
我用過便宜且可靠的DNS hosting provider:
參考一下摟..
可以考慮使用 www.cloudflare.com 作為第三方DNS。 優點是具有CDN解決小頻寬的問題,還有就是更換ip 的對應時間最快5 分鐘就可以生效。 最後是抗攻擊。