Comme si les centres de données et les administrateurs de serveur ne sont pas assez pour inquiéter quand il vient à la sécurité de leurs installations, encore un autre problème sérieux a fait surface. Il est un type d'attaque DDoS étant appelée "Nonsense Name" attaque, et la plupart des serveurs sont à risque car il cible les serveurs de noms.
Comment cela fonctionne
Le but apparent d'une attaque Nonsense Nom est de cibler les serveurs de noms faisant autorité pour une zone DNS, en les accablant de demandes de serveurs de noms récursifs. Le processus fonctionne de cette façon:
- Un bot (ou réseau de bots) crée un grand nombre de domaines non-sens dans la zone cible à interroger. Si l'attaque est lancée contre domain.zone, par exemple, il va générer abcde.domain.zone, fghij.domain.zone, klmno.domain.zone et ainsi de suite, et ensuite envoyer des requêtes pour chacun d'eux à des serveurs de noms récursifs .
- Les serveurs de noms récursifs vont, comme leur emploi, envoient chaque requête aux serveurs de noms faisant autorité pour domain.zone, qui alors naturellement renvoient une réponse NXDOMAIN (ce qui signifie les noms étant interrogés n'existent pas) aux serveurs récursifs.
- Si les requêtes continuent d'arriver assez vite, finalement, les serveurs de noms d'autorité cessera d'y répondre. Cela à son tour obstrue les serveurs de noms récursifs rendant les demandes, et ils courent hors des fentes de la requête. À ce moment, les serveurs récursifs vont tout simplement refuser toutes les nouvelles requêtes, même légitimes. En effet, le serveur est complètement arrêté de résoudre les demandes des clients.
Même si le but est de frapper les serveurs de noms faisant autorité, tous les serveurs de noms récursifs impliqués sont victimes aussi bien.
Traiter avec un Nonsense Nom Attaque
La première étape dans le traitement de cette nouvelle menace est d'être conscient de ce qu'il faut chercher. Quand un serveur de noms récursif commence à envoyer le message "clients pas plus récursifs; quota atteint "à syslog, vous devez immédiatement soupçonner que le manque d'emplacements libres de requêtes récursives est due à Nonsense Nom. Ces messages syslog contiennent les adresses IP rendant les requêtes, donc s'ils ont l'air suspect vous pouvez rapidement les exclure en utilisant une liste de contrôle d'accès.
Si vous n'êtes pas sûr de l'IP, les choses se compliquent. La meilleure approche utilise le RPZ (zone de la politique de réponse) fonction dans BIND pour dire les serveurs de noms de ne pas envoyer des requêtes impliquant la zone affectée. Vous mettre en place une règle qui ressemble à ceci:
* .domain.zone.the.rpz.zone IN CNAME.
puis définir l'option qname-wait-recurse dans BIND pour «non». Après cela, tout le monde l'interrogation d'un domaine dans domain.zone recevrait automatiquement une réponse NXDOMAIN à partir du serveur récursif, et les serveurs de noms d'autorité ne serait jamais impliqué du tout .
Pour les serveurs de noms récursifs qui ne fonctionnent BIND (ou n'a pas été mis à jour à BIND 9.1), la meilleure option est de créer une, zone "factice" vide pour remplacer le vrai domain.zone. Etiqueter comme le serveur de noms faisant autorité pour la zone, et toutes les requêtes seront ensuite obtenir la réponse de NXDOMAIN.
Bien sûr, ce sont les deux changements temporaires; une fois que l'attaque est terminée, vous aurez besoin de mettre les choses comme elles étaient dans l'ordre pour la résolution de domaine pour reprendre.
Dans un proche avenir, l'Internet Systems Consortium prévoit de publier deux nouvelles options pour la configuration du serveur de noms BIND, qui va automatiquement limiter les requêtes telles que celles créées par Nom Nonsense attaques. Jusque-là, les corrections ci-dessus devraient limiter l'absurdité de vos serveurs de noms peuvent être confrontés.
