大家好,我目前碰到DNS被攻擊,需要請資安高手幫忙
公司介紹:大專校院單位
網段:一般教室,電腦教室,各行政學術單位(一個單位一個網段),宿舍
設備:防火牆MHG 3500、DNS Server 2012R2實體主機一台
服務:校內有很多僅對內的服務,所以DNS無法丟到外面(Cloudflare等)
DNS設定:對內和對外僅開放 DNS Port 53,有裝NOD32 File Server
DNS網卡設定:DNS指向 中華和Google
防火牆設定:DMZ都有嚴格管控僅開需要的服務
User設定: 校內dns、中華DNS 這兩組 約6000User
沒有AD
目前常常有TaNet資安通報都是DNS被攻擊或有異常流量都來自RU俄羅斯
目前的處理方法就是將DNS有查詢過得RU網址全部丟到防火牆黑名單
防火牆會告訴我來自哪個電腦有嘗試想要去RU的網站。
昨天剛好有兩個案例
教育部資安推薦我界面要僅允許以下IP
但是我設定過 會造成全校無法連外
http://imgur.com/ynqJD9H
據說建立轉寄站能降低DNS負荷
http://imgur.com/4gJZZJw
教育部也推薦停用遞迴
但是一停用就會造成全校無法上網
http://imgur.com/I6KhaJI
防火牆MHG 3500
把外部要查的DNS設定在此台的
進階功能 > Inbound 負載平衡 > 設定
勾選 關閉DNS遞迴查詢模式
原舊內部的DNS延用就可以了
感謝您的寶貴經驗分享
想請教,現在來說是不是直接建立一個新的DNS Server來提供外部查詢 本校xxx.edu.tw 網址最佳?
這樣就不用動到User電腦的DNS設定了
現在User設定: DNS1. 本校DNS DNS2.中華DNS
原有的DNS改為內部查詢用,然後點停用遞迴
可是,我曾經有點過「停用遞迴」辦公室電話就響到炸掉說不能上網
或是有些網站怪怪的上不去
門神的意思是把 MHG 3500 拿來當作對外的 DNS server 使用.
關閉遞迴功能,只回應上面設定的 DNS record.
校內的電腦就指向原來的 Windows DNS server,遞迴不用關閉.
至於內部那些中獎的想往RU連的,在 Windows DNS server上建個ru.的 DNS domain,裡面加個 * 的 A record 對應到 127.0.0.1, 讓這些連線連不出去. (雖然殺很大,所有要去.ru domain的通殺)
Yes 如上 zyman2008 所回
DNS 是協助各個網域的解析,對應的服務與IP
DNS 攻擊是試圖大量詢問,癱瘓正常的回應
自然如果有主動回應進行防護在gateway 是最理想
但是這種攻擊來自殭屍電腦,IP不斷轉換
導致這樣的防護也是沒有辦法有效
所以要不花錢,又能抽離這樣的DNS攻擊
把對外與對內主機先區分,對外需要的mail/web等設定到isp 的託管服務
對內,則使用內dns 主機來服務,內dns 設定兩台
open 如果查外部丟給外部isp,這樣就應該足以處理現在問題了
第二步,為了預防,最近還是要建構對外或所有對外dns
但仍想要內部出去不致影響
那就建構一個proxy ,或是dns relay 繞路出去,沒人知道
但就可以正常,卻不受dns 攻擊服務影響
簡單就是進出分離
以我過去的經驗,DNS還是可以分為內部與外部使用的
假設你的DOMAIL是a.edu.tw,內部Server為192.168.0.1,外部假設放在CHT為168.95.1.1,內部與外部的DNS紀錄設定可以一樣,也可以將DNS紀錄設定區分為內部用與外部用,但DOMAIL供應商設定的DNS必須要為是外部的168.95.1.1,同時禁止internet對內DNS 53port的連線。這樣一來,外部可能要查詢DNS時就會直接查詢到外面的DNS Server。如MX紀錄,但內部的DNS查詢在DNS server上就可以直接指向公司內部的DNS Server,這樣DNS在查詢的時候如果有發現到DOMAIN紀錄就會直接回傳,而不是另外再遞迴查詢。
比如說DOMAIL是a.edu.tw,透過WHOIS的DNS查詢為168.95.1.1,那麼internet查詢mail.a.edu.tw就會直接去168.95.1.1查詢a.edu.tw這個DOMAIN;而內部的DNS Server設定為192.168.0.1,當內部的USER查詢mail.a.edu.tw時就會直接透過192.168.0.1去查詢這個DOMAIN的紀錄,就看你要回傳什麼。
而DNS Server有設定遞迴的好處,就是當DNS Server有設定快取時就會直接在內部建立快取,當許多使用者進行同一個DNS查詢時就可以直接從本機傳回,不需要再另外進行DNS的查詢,這樣可以節省很多聯外的DNS頻寬。如A USER直接向DNS Server查詢GOOGLE.COM,DNS Server經過遞迴查詢後直接回傳,而B USER需要再查詢GOOGLE.COM,DNS SERVER就可以直接回傳,而不需要再進行遞迴查詢。
不知道我這樣理解是否正確
目前User電腦的DNS設定為 192.168.0.1(假設)和168.95.1.1 這兩組
我應該將原本的DNS改為內部DNS 禁止外面連線到這台
再架設一個新的DNS作為外部使用 假設IP是140.0.0.1
應向教育部申請 修改a.edu.tw Domain Name DNS設定由原本的 192.168.0.1 改為新的 140.0.0.1
這樣外面人要查詢a.edu.tw就會找到 140.0.0.1
既有DNS192.168.0.1 也不會繞路,因為內部同仁就會直接在內部DNS找到
所以這樣同仁上網有兩個DNS設定 一個是查詢內部網站
第二個是由中華電信提供外部網站查詢
這樣觀念應該是正確的?
謝謝指教
原則上這樣操作是沒有錯,用戶端的DNS只需要設定內部的DNS 192.168.0.1(假設)就可以了,因為內部的DNS如果有開遞迴,用戶端就可以直接透過DNS SERVER去查詢到其他的DNS紀錄,用戶端不需要再另外設定一個DNS 168.95.1.1 去增加未知的問題。
而且這樣設用戶端還會覺得網路的速度比較快呢,因為DNS外部查詢在怎麼快應該也不會比內部DNS有經過查詢後建立快取的查詢速度還要來的快。