Als ob Rechenzentren und Server-Administratoren nicht genug Sorgen zu machen, wenn es um die Sicherheit ihrer Anlagen kommt, noch ein weiteres ernstes Problem ist aufgetaucht. Es ist eine Art von DDoS-Angriff der "Name Nonsense" Angriff genannt wird, und die meisten Server sind gefährdet, weil es Nameserver zum Ziel hat.
Wie es funktioniert
Das scheinbare Ziel eines Nonsense-Name Angriff ist autoritativen Nameserver für eine DNS-Zone zum Ziel, indem man sie mit Anfragen von rekursiven Nameservern überwältigend. Das Verfahren funktioniert wie folgt:
- Ein Bot (oder das Netz von Bots) erzeugt eine große Anzahl von Nonsense-Domänen in der Zielzone abzufragen. Wenn der Angriff gegen domain.zone gestartet wird, zum Beispiel, wird es abcde.domain.zone, fghij.domain.zone, klmno.domain.zone erzeugen und so weiter, und dann Abfragen für alle von ihnen zu rekursiven Nameserver senden .
- Die rekursiven Nameserver, als ihre Aufgabe ist es, jede Abfrage auf den autoritativen Nameserver für domain.zone senden, die dann natürlich eine NXDOMAIN Antwort zurück (dh die Namen abgefragt werden nicht existieren) zu den rekursiven Servern.
- Wenn die Abfragen schnell genug kommen immer, schließlich die autoritative Nameserver beantworten sie zu stoppen. Das wiederum verstopft die rekursiven Nameserver machen die Anforderungen, und sie laufen aus Abfrage-Slots. An diesem Punkt werden die rekursive Server einfach alle neuen Anfragen ablehnen, auch legitime. Tatsächlich wird der Server von der Lösung von Client-Anforderungen vollständig gestoppt.
Auch wenn das Ziel zu treffen ritativen Nameserver ist, alle der rekursiven Nameserver beteiligt sind, als auch zum Opfer.
Der Umgang mit einem Nonsense - Name Angriff
Der erste Schritt, um diese neue Bedrohung im Umgang ist sich dessen bewusst zu sein, was zu suchen. Wenn ein rekursiven Nameserver beginnt das Senden der Nachricht "nicht mehr rekursive Kunden; Quote erreicht "syslog, sollten Sie sofort den Verdacht, dass der Mangel an freien rekursive Abfrage Slots Nonsense-Name zurückzuführen ist. Diese Syslog-Meldungen werden die IP-Adressen enthalten, die Abfragen zu machen, so dass, wenn sie verdächtig Sie können sie schnell ausschließen, indem Sie eine Zugriffssteuerungsliste.
Wenn Sie sich nicht sicher über die IPs sind, werden die Dinge komplizierter. Der beste Ansatz ist mit der RPZ (Reaktionsrichtlinie Zone) Funktion in BIND die Nameserver zu sagen, dass keine Anfragen zu senden, um die betroffene Zone beteiligt sind. Sie würden eine Regel einrichten, die wie folgt aussieht:
* .domain.zone.the.rpz.zone IN CNAME.
und stellen Sie dann die qname-wait-recurse Option in BIND auf "Nein". Danach wird jemand eine Domain in domain.zone Abfrage würde automatisch eine NXDOMAIN Antwort vom rekursive Server erhalten, und die autoritativen Nameserver würde überhaupt nicht einmischen .
Für rekursiven Nameserver, die BIND nicht laufen (oder nicht aktualisiert wurden 9,1 auf BIND), die beste Option ist eine leere, "Dummy" Zone zu ersetzen, für die reale domain.zone zu erstellen. Beschriften Sie sie als autoritativen Nameserver für die Zone, und alle Anfragen werden dann die NXDOMAIN Antwort.
Natürlich sind diese beiden zeitlich befristete Änderungen; sobald der Angriff vorbei ist, müssen Sie die Dinge so, wie sie waren wieder aufzunehmen, um für Domain-Auflösung einzustellen zurück.
In naher Zukunft plant das Internet Systems Consortium zwei neue Optionen für BIND-Nameserver-Konfiguration zu lösen, die Abfragen wie die erzeugt wurden automatisch von Nonsense Namen Angriffe begrenzen. Bis dahin sollten die oben genannten Korrekturen beschränken den Unsinn Ihre Nameserver stellen kann.
