Nonesense 이름 공격 sys 인 관리자 용 심각한 우려
- Category: 디 도스
- Author: Admin
- Publisher:
Psychz Networks
- June 05,2015
데이터 센터 및 서버 관리자가 해당 소프트웨어의 보안에 관해서, 또 다른 심각한 문제가 표면화되면 걱정 충분하지 않은 경우로서. 그것은 DDoS 공격의 유형은 "넌센스 이름"공격 호출되고, 그리고는 네임 서버를 대상으로하기 때문에 대부분의 서버는 위험에 노출됩니다.
작동 방법
말도 안되는 이름 공격의 분명한 목표는 재귀 네임 서버에서 요청을 압도함으로써, DNS 영역에 대한 권위있는 이름 서버를 대상으로하는 것입니다. 이 과정은이 방식으로 작동합니다 :
- 봇 (또는 봇 네트워크) 조회 할 대상 영역에서 말도 안되는 도메인의 큰 숫자를 생성합니다. 공격이 domain.zone 대해 실행되는 경우, 예를 들어, 등등 abcde.domain.zone, fghij.domain.zone, klmno.domain.zone 및를 생성하고 재귀 이름 서버 모두에 대해 쿼리를 보내 .
- 자신의 일처럼 재귀 네임 서버는 다음 자연스럽게 재귀 서버 (이름이 존재하지 않는가 조회되는 의미)를 NXDOMAIN 응답을 반환 domain.zone의 권위있는 네임 서버에 각 쿼리를 전송합니다.
- 쿼리가 충분히 빨리오고 계속되면 결국 권위있는 네임 서버는 그 응답이 중지됩니다. 즉, 차례로 요청을 재귀 이름 서버를 나막신, 그들은 쿼리 슬롯의 부족. 그 시점에서, 재귀 서버는 단순히 모든 새로운 쿼리, 심지어 합법적 인 것들을 거부합니다. 실제로, 서버는 클라이언트 요청을 완전히 해결에서 정지된다.
목표는 권위있는 이름 서버를 공격하더라도, 참여 재귀 네임 서버의 모든뿐만 아니라 희생된다.
말도 안되는 이름 공격 다루기
이 새로운 위협을 처리하는 첫 번째 단계는 찾아 무엇을 알고 있어야하는 것입니다. 때 재귀 네임 서버가 메시지 "더 이상 재귀 클라이언트를 전송하기 시작합니다; syslog에 "도달 할당량은 즉시 무료 재귀 쿼리 슬롯의 부족 넌센스 이름에 의한 것으로 의심해야한다. 이러한 로그 메시지가 질의를 구성하는 IP 주소를 포함하므로 의심 보면 빠르게 액세스 제어리스트를 사용하여 그것들을 배제 할 수있다.
당신이 IP에 대해 확실하지 않은 경우, 상황이 더 복잡해진다. 가장 좋은 방법은 영향을받는 영역을 포함하는 모든 쿼리를 전송하지 네임 서버에게 BIND의 RPZ (응답 정책 영역) 함수를 사용하고 있습니다. 이처럼 보이는 규칙을 설정합니다 :
* CNAME IN .domain.zone.the.rpz.zone.
다음으로 BIND의 qname를-대기 재귀 옵션을 설정 "아니오."그 후, domain.zone의 도메인을 조회하는 사람이 자동으로 재귀 서버에서 NXDOMAIN 응답을받을 것이다, 그리고 권위있는 이름 서버는 전혀 참여하지 않을 것 .
BIND를 실행하지 않는 (또는 9.1 BIND 업데이트되지 않은) 재귀 네임 서버의 경우, 최선의 선택은 실제 domain.zone을 대체 할 빈, "더미"영역을 만드는 것입니다. 영역에 대한 권한있는 이름 서버로 레이블을, 어떤 쿼리는 다음 NXDOMAIN 응답을 얻을 것이다.
물론,이 두 일시적 변화는; 공격이 끝난 후에는 도메인 해상도를 재개 할 그들이 위해했던 방법을 일을 다시 설정해야합니다.
가까운 미래에, 인터넷 시스템 컨소시엄은 자동으로 넌센스 이름 공격에 의해 생성 된 것과 같은 쿼리를 제한 할 것이다 BIND 네임 서버 구성을위한 두 가지 새로운 옵션을 출시 할 계획이다. 그 때까지 위의 수정은 이름 서버가 직면 할 수 넌센스을 제한해야합니다.