Como si los centros de datos y administradores de servidores no tenían suficiente de qué preocuparse cuando se trata de la seguridad de sus instalaciones, sin embargo, otro problema grave ha salido a la superficie. Es un tipo de ataque DDoS se calificó el ataque como "Tonterías Nombre", y la mayoría de los servidores están en riesgo porque se dirige a los servidores de nombres.
Cómo funciona
El objetivo aparente de un ataque Tonterías Nombre es apuntar a los servidores de nombres autorizados para una zona DNS, por abrumadora con las peticiones de los servidores de nombres recursivos. El proceso funciona de esta manera:
- Un bot (o red de bots) crea un gran número de dominios sin sentido en la zona de destino que desea consultar. Si el ataque se ha lanzado contra domain.zone, por ejemplo, se generará abcde.domain.zone, fghij.domain.zone, klmno.domain.zone y así sucesivamente, y luego enviar consultas para todos ellos a los servidores de nombres recursivos .
- Los servidores de nombres recursivos serán, como es su trabajo, envían cada consulta a los servidores de nombres autorizados para domain.zone, que entonces, naturalmente, devuelven una respuesta NXDOMAIN (es decir, los nombres que se consulta no existen) para los servidores recursivos.
- Si las consultas siguen llegando lo suficientemente rápido, con el tiempo los servidores de nombres autorizados dejarán de responder a ellas. Que a su vez obstruye los servidores de nombres recursivos que hacen las peticiones, y se quedan sin ranuras de consulta. En ese momento, los servidores recursivos simplemente rechazar todas las nuevas consultas, incluso las más legítimas. En efecto, el servidor se haya detenido por completo de la resolución de las solicitudes de cliente.
Incluso si el objetivo es golpear a servidores de nombres autorizados, todos los servidores de nombres recursivos involucrados son víctimas también.
Tratar con un Ataque Tonterías Nombre
El primer paso en el manejo de esta nueva amenaza es ser consciente de lo que debe buscar. Cuando un servidor de nombres recursivo comienza a enviar el mensaje de "clientes no más recursivos; cuota alcanzado "en syslog, se debe sospechar inmediatamente que la falta de consulta recursiva ranuras libres se debe a Tonterías Nombre. Esos mensajes de registro del sistema contendrán las direcciones IP realiza las consultas, por lo que si se ven sospechosas que pueden excluir rápidamente mediante el uso de una lista de control de acceso.
Si no está seguro acerca de los períodos de investigación, las cosas se complican más. El mejor enfoque está utilizando la función RPZ (zona directiva de respuesta) en BIND a decir a los servidores de nombres que no envíe consultas que implican la zona afectada. Se podría establecer una regla que tiene este aspecto:
* .domain.zone.the.rpz.zone EN CNAME.
a continuación, establezca la opción qname-espera-recurse en BIND para "no". Después de eso, cualquier consulta de un dominio en domain.zone recibiría automáticamente una respuesta NXDOMAIN desde el servidor recursivo, y los servidores de nombres autorizados que nunca se involucraría en absoluto .
Para los servidores de nombres recursivos que no se ejecutan BIND (o no se han actualizado a BIND 9.1), la mejor opción es crear una, zona vacía "de prueba" para sustituir a la domain.zone real. Etiquetarlo como el servidor de nombres con autoridad para la zona, y cualquier duda serán a continuación, obtener la respuesta NXDOMAIN.
Por supuesto, estos son los dos cambios temporales; una vez que el ataque ha terminado, tendrá que poner las cosas vuelvan a ser como eran a fin de que la resolución de dominio para reanudar.
En un futuro próximo, el Internet Systems Consortium está planeando lanzar dos nuevas opciones de configuración del servidor de nombres BIND, lo que limitará automáticamente las consultas como las creadas por los ataques nombre sin sentido. Hasta entonces, las correcciones anteriores deben limitar el absurdo sus servidores de nombres pueden enfrentar.
