DNS 攻擊

dns 跳板資安網路防火牆

Kevin 2016-12-20 11:37:47 ‧ 14289 瀏覽

分享至

大家好，我目前碰到DNS被攻擊，需要請資安高手幫忙

公司介紹：大專校院單位
網段：一般教室，電腦教室，各行政學術單位（一個單位一個網段），宿舍
設備：防火牆MHG 3500、DNS Server 2012R2實體主機一台
服務：校內有很多僅對內的服務，所以DNS無法丟到外面(Cloudflare等)
DNS設定：對內和對外僅開放 DNS Port 53，有裝NOD32 File Server
DNS網卡設定：DNS指向中華和Google
防火牆設定：DMZ都有嚴格管控僅開需要的服務
User設定：校內dns、中華DNS 這兩組約6000User
沒有AD

目前常常有TaNet資安通報都是DNS被攻擊或有異常流量都來自RU俄羅斯
目前的處理方法就是將DNS有查詢過得RU網址全部丟到防火牆黑名單
防火牆會告訴我來自哪個電腦有嘗試想要去RU的網站。

昨天剛好有兩個案例

宿舍學生
電腦教室某台電腦
宿舍學生請來了，電腦看了沒問題，NOD32也沒掃出東西但是封包都異常。
NetLimiter跟CPU和記憶體都很正常
電腦教室我親自去看了，發現整間會擴散
不知道大家都怎麼處理這樣的問題？這是我用最笨的方法來想辦法解決問題了
目前沒有經費去採購任何設備
但是我可以生出一般PC來架設其他對解決這問題有幫助的Server

教育部資安推薦我界面要僅允許以下IP
但是我設定過會造成全校無法連外
http://imgur.com/ynqJD9H

據說建立轉寄站能降低DNS負荷
http://imgur.com/4gJZZJw

教育部也推薦停用遞迴
但是一停用就會造成全校無法上網
http://imgur.com/I6KhaJI

看更多先前的討論...收起先前的討論...

林門神JanusLin iT邦超人 1 級 ‧ 2016-12-20 12:16:45 檢舉

停用遞迴

你的DNS配發只有一筆嗎 ?

Kevin iT邦新手 4 級 ‧ 2016-12-20 13:01:23 檢舉

To: 門神JanusLin
DNS伺服器網卡設定配中華&Google DNS
User 網卡設定配校內&中華DNS

hon2006 iT邦大師 1 級 ‧ 2016-12-20 13:30:42 檢舉

dns server 可能要分成兩台,
上網和內部的1台,
dns server 設定轉寄站 168.95.1.1 和 8.8.8.8
防火牆內對外只開dns server 可以連 168.95.1.1 8.8.8.8 port 53 其餘pc都禁止
pc 都使用內部的 dns

讓外部查詢的1台,停用遞迴查詢,防火牆開放外對內 port 53

zyman2008 iT邦大師 6 級 ‧ 2016-12-20 15:22:18 檢舉

用Windows內建的DNS Server就是有這個缺憾. 要架兩台才能分別給內外查詢.
沒有像 Bind DNS可以分內外兩個view, 設不同的ACL.

林門神JanusLin iT邦超人 1 級 ‧ 2016-12-20 15:52:28 檢舉

Yes 分兩台最簡單

ayu iT邦好手 2 級 ‧ 2016-12-20 16:07:58 檢舉

DNS server最難之處並非技術也不是實體設備, 而是觀念!!!!

既是有著6000 users的大專校院, 網段絕對超過1個class C,
緣何僅有一台DNS server?
無論是正解還是反解, 都至少要兩台, 貴單位必須有此認知.
如果實在沒有多餘設備區隔內外網用的 DNS server,
那麼 authoritative dns 只需限制僅允許學校網段可遞迴查詢.

資安通報指的是攻擊來源IP多來自ru,
這跟user查詢 *.ru forward domain 一點關係也沒有,
再說了, IP反解一定會有 ccTLD 嗎?
照此邏輯, x-x-x-x.HINET-IP.hinet.net 又在哪個國家?

Kevin iT邦新手 4 級 ‧ 2016-12-20 20:26:42 檢舉

謝謝各位的寶貴經驗
TO:hon2006 zyman2008 門神JanusLin
這我有Google過但是要全校改DNS設定是非常浩大的工程因為沒有AD
全校除了伺服器都是手動設定IP。老師和職員資訊素養不太好。會先把我們累死。

Kevin iT邦新手 4 級 ‧ 2016-12-20 20:40:49 檢舉

TO ayu
有時候...有些事情是先人規劃的
6000 User 其實我不知道我這樣算對不對
全校教室+辦公室+老師電腦+宿舍+電腦教室

因為學校有兩個校區
A校區跟B校區都吃 A校區的DNS (這也不是我規劃的)
所以確實有兩個 Class C 實體網段

以前所有電腦都是實體IP因為不夠用所以後來改成172虛擬IP
所以...恩....挨....
感謝您的寶貴經驗

ayu iT邦好手 2 級 ‧ 2016-12-20 22:50:48 檢舉

你的困擾在此無法三言兩語解釋清楚跟解決的了, 建議:
1. 就近向所在區網中心求教或取得實務上的協助,
或校內有資訊科系的話向教授請益(如果不避諱的話)
2. 若有相關研習課程請務必參加
3. 轉寄(查詢封包)不是可以輕易使用的項目,
特別對稍具規模的單位/機關而言更是如此

Benson iT邦新手 5 級 ‧ 2016-12-20 23:59:53 檢舉

目前我們校內DNS也是架設兩台，行政與教學都使用實體IP，
DNS的部份我一般都建議老師們一台設學校一台設中華或GOOGLE，
雖然說很多老師、學生與教室的維護廠商IP有時會設定錯誤，
不過交個幾次與提供教學文件後，基本上他們久了就會自己注意了~
如果說遇到大量的攻擊自己應付不來的話建議來是與區網聯繫請求幫助看看唷~

Benson iT邦新手 5 級 ‧ 2016-12-20 23:59:54 檢舉

Kevin iT邦新手 4 級 ‧ 2016-12-21 00:22:41 檢舉

TO ayu
在下僅是領薪的，主子正是資訊科系...
要不是主子有辦法我也不會來發問了挨
大家都辛苦了有苦難言

To benson_h
學校只是兩個C Class 因為不同縣市
之前中華電信常常斷我們網路說MAC數超過500
所以才全部改成虛擬IP
結果還是常常斷我網路

我們有Tanet+5條中華（宿舍用）

Benson iT邦新手 5 級 ‧ 2016-12-21 07:55:05 檢舉

我們目前也是Tanet一條+中華，不過都是給校內使用，
宿舍的部分我們外包給中華~
宿網外包這塊可以減少很多不必要的麻煩XDD
另外想請問你們目前全校的USER大約多少呢

wwx iT邦好手 1 級 ‧ 2016-12-21 08:13:03 檢舉

大家都建議要兩台DNS,怎麼不順便建議可用VM來運作呢?

窮嘶發發發 iT邦高手 1 級 ‧ 2016-12-21 09:00:22 檢舉

看到第三張圖，我就笑了，沒有 AD ，你那個設定搞屁啊
個人建議啦，樓主應該要去看看允許使用者如何查詢 DNS
因為會改 DNS 主機位置的人很多，你應該要做一些區隔的
以我來說我會這麼規劃
就如樓上所言，宿網、電腦教室應該要用外包線路，
如果要使用校內資源，應該要透過 VPN 連進來才行
接著校內重要對外設備，應該要有獨立的對外 DNS，
DNS 一個很重要的觀念就是，你給外部使用者查詢的紀錄絕對不能有私人 IP 的紀錄
然後因為沒有 AD，所以你的 DNS 為什麼不用 LINUX類OS 這種來架設呢?
安全性差異很大的，另外，DNS 有分主從架構，有興趣去找找書來看看差異在哪裡

vanness1212 iT邦新手 5 級 ‧ 2016-12-21 09:20:00 檢舉

前面大多是討論在設定部份來防止～
但現在攻擊手法日新月異～～
可以購買DNS 管理器來防護DNS被攻擊

Kevin iT邦新手 4 級 ‧ 2016-12-21 20:56:18 檢舉

To Benson小洪
user 數跟電腦台數應該有差距
因為網路是分兩校區，我在A校區
依照報部學生人數+教師人數6000有找（A+B）
以下是A校區的大約電腦台數
電腦台數 1500台（教室+行政+教師）
宿舍學生筆電1000台
大概2000台
B校區我不清楚

BUT 先人規劃 A&B校區都吃 A校區的DNS
也就是說我只要一重開就是兩區一起死
我來以後好不容易把90年的DNS主機換成98年的主機
2003升級到Serer 2012R2

A<---VPN--->B
這也是先人...... 之前廠商有說這樣不好，應該再添購設備

TO wwx
有朋友在中央政府單位工作，他建議我DNS & AD不要放在VM上

窮嘶發發發
「因為會改 DNS 主機位置的人很多」User連自己IP多少都不清楚了
這的User只要講到電腦通通變白痴

「宿網、電腦教室應該要用外包線路」
現在防火牆設定是 GOV&EDU網站走TANET
其他都是中華5條，有LoadBalance
但是莫明的中華或Tanet常常斷線，中華說是MAC數超過
線在有實體IP的只有伺服器

「 DNS 為什麼不用 LINUX類OS 這種來架設」
因為...我會用代表其他人會用

TO vanness1212

好像 108年的預算都編完了
因為上面想省錢，一年只能換3-5台Switch
這裡都是 10年老摳摳設備....

再次感謝大家分享寶貴知識與建議！

Benson iT邦新手 5 級 ‧ 2016-12-22 14:37:17 檢舉

你們人六千分到兩個C是真的有點少~
如果控管不好假如收到資安通報(不要有最好XD)不好找兇手QQ

如說是DNS與AD可不可以放在VM，
做過兩台DNS就放在VM上，我們光無線的量就兩千都還OK，
但以管理面而言放VM上備援與移轉會比實體機來的方便許多。

宿網外包的部分我是指他們不走學校網路，
是與中華或其他廠商租用一般線路單獨給宿舍使用，因為宿網走學術網路基本上侵權與攻擊問題一定不少，
而且如果設備或線路損壞都要由網路組相關人員去處理，相對的比較麻煩，
若外包交由其他ISP處理，談合約時基本上就可以把這塊納入，目前打聽許多學校宿網也是開始採用這種方式處理。

至於學校師生會不會設定IP的問題，這部分應該是所有網路組員最痛苦的問題，
我們常收到老師打來說不能上網，我們就電話一步一步請他開啟網路設定來看，不然就說請他找一個比較懂電腦或系辦工讀來幫他看，
然後要做教學圖片提供在網頁上請老師或同學自行上網看教學說明(現在有行動上網的同學或老師基本上不少)，最後真的不行才會去幫他看看。
當然這部分每個地方民情不同不能相比，使用者真的很難教，但以上是我們的經驗拉XD

Kevin iT邦新手 4 級 ‧ 2016-12-23 03:31:31 檢舉

To Benson小洪
當User電腦有問題，真的瞬間智商都變成0
經費有限，現在都是挖東牆補西牆
下一個民國113年是大專校院最痛苦的一年阿.....
大家要撐住

wwx iT邦好手 1 級 ‧ 2016-12-27 11:52:24 檢舉

AD就算了,DNS不能放VM的理由是什麼?! 呵~
以個人看法DNS放VM對資安管控更容易完善喔!

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

林門神JanusLin

iT邦超人 1 級 ‧ 2016-12-20 15:58:25

最佳解答

防火牆MHG 3500

把外部要查的DNS設定在此台的

進階功能 > Inbound 負載平衡 > 設定

勾選關閉DNS遞迴查詢模式

原舊內部的DNS延用就可以了

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

Kevin iT邦新手 4 級 ‧ 2016-12-20 20:44:34 檢舉

感謝您的寶貴經驗分享

想請教，現在來說是不是直接建立一個新的DNS Server來提供外部查詢本校xxx.edu.tw 網址最佳？

這樣就不用動到User電腦的DNS設定了
現在User設定： DNS1. 本校DNS DNS2.中華DNS
原有的DNS改為內部查詢用，然後點停用遞迴
可是，我曾經有點過「停用遞迴」辦公室電話就響到炸掉說不能上網
或是有些網站怪怪的上不去

zyman2008 iT邦大師 6 級 ‧ 2016-12-21 00:36:18 檢舉

門神的意思是把 MHG 3500 拿來當作對外的 DNS server 使用.
關閉遞迴功能,只回應上面設定的 DNS record.

校內的電腦就指向原來的 Windows DNS server,遞迴不用關閉.

至於內部那些中獎的想往RU連的,在 Windows DNS server上建個ru.的 DNS domain,裡面加個 * 的 A record 對應到 127.0.0.1, 讓這些連線連不出去. (雖然殺很大,所有要去.ru domain的通殺)

林門神JanusLin iT邦超人 1 級 ‧ 2016-12-21 08:09:57 檢舉

Yes 如上 zyman2008 所回

Kevin iT邦新手 4 級 ‧ 2016-12-21 20:59:41 檢舉

MHG 3500 本人覺得不好用，真的要如此的依賴他嗎？
To zyman2008 :
設定127.0.0.1你這個真是好建議！

林門神JanusLin iT邦超人 1 級 ‧ 2016-12-22 08:57:46 檢舉

青菜蘿蔔各有人愛
學會讚美
少點批評
世界會因此更美好

Kevin iT邦新手 4 級 ‧ 2016-12-28 12:46:32 檢舉

想請教各位
目前現有DNS是 proliant dl380 gen6
Intel Xeon 處理器 E5606 x2
RAM 8GB
若要改為VM
分為內&外 DNS
各配 3gb RAM
是否夠跑？
謝謝各位的寶貴經驗與指教

登入發表回應

riches88

iT邦研究生 3 級 ‧ 2016-12-21 09:26:44

DNS 是協助各個網域的解析，對應的服務與IP
DNS 攻擊是試圖大量詢問,癱瘓正常的回應
自然如果有主動回應進行防護在gateway 是最理想
但是這種攻擊來自殭屍電腦，IP不斷轉換
導致這樣的防護也是沒有辦法有效
所以要不花錢，又能抽離這樣的DNS攻擊

把對外與對內主機先區分，對外需要的mail/web等設定到isp 的託管服務
對內，則使用內dns 主機來服務，內dns 設定兩台
open 如果查外部丟給外部isp,這樣就應該足以處理現在問題了
第二步，為了預防，最近還是要建構對外或所有對外dns
但仍想要內部出去不致影響
那就建構一個proxy ,或是dns relay 繞路出去，沒人知道
但就可以正常，卻不受dns 攻擊服務影響
簡單就是進出分離

回應 2
分享
檢舉

riches88 iT邦研究生 3 級 ‧ 2016-12-21 09:29:55 檢舉

這是，快速，簡單，省錢。也是你想要即時攻擊。了不起給對方癱瘓。也就是DMZ概念。推可以犧牲的去面對攻擊。但你早已繞路繼續運作

Kevin iT邦新手 4 級 ‧ 2016-12-21 21:04:11 檢舉

先人有架設過Proxy 不明原因徹下了
這樣說我原始User端DNS IP不動
直接向教育部申請改網域名稱DNS IP
架設一個新的對外DNS如何？

向教育部申請改DNS ip 比改User電腦DNS簡單多了

登入發表回應

poiu124pat

iT邦新手 2 級 ‧ 2016-12-21 20:31:22

以我過去的經驗，DNS還是可以分為內部與外部使用的

假設你的DOMAIL是a.edu.tw，內部Server為192.168.0.1，外部假設放在CHT為168.95.1.1，內部與外部的DNS紀錄設定可以一樣，也可以將DNS紀錄設定區分為內部用與外部用，但DOMAIL供應商設定的DNS必須要為是外部的168.95.1.1，同時禁止internet對內DNS 53port的連線。這樣一來，外部可能要查詢DNS時就會直接查詢到外面的DNS Server。如MX紀錄，但內部的DNS查詢在DNS server上就可以直接指向公司內部的DNS Server，這樣DNS在查詢的時候如果有發現到DOMAIN紀錄就會直接回傳，而不是另外再遞迴查詢。

比如說DOMAIL是a.edu.tw，透過WHOIS的DNS查詢為168.95.1.1，那麼internet查詢mail.a.edu.tw就會直接去168.95.1.1查詢a.edu.tw這個DOMAIN；而內部的DNS Server設定為192.168.0.1，當內部的USER查詢mail.a.edu.tw時就會直接透過192.168.0.1去查詢這個DOMAIN的紀錄，就看你要回傳什麼。

而DNS Server有設定遞迴的好處，就是當DNS Server有設定快取時就會直接在內部建立快取，當許多使用者進行同一個DNS查詢時就可以直接從本機傳回，不需要再另外進行DNS的查詢，這樣可以節省很多聯外的DNS頻寬。如A USER直接向DNS Server查詢GOOGLE.COM，DNS Server經過遞迴查詢後直接回傳，而B USER需要再查詢GOOGLE.COM，DNS SERVER就可以直接回傳，而不需要再進行遞迴查詢。