Jakby centrów danych i administratorzy serwerów nie muszą się martwić o tyle, jeśli chodzi o bezpieczeństwo swoich instalacji, jeszcze inny poważny problem powierzchniowe. Jest to rodzaj ataku DDoS jest nazywany "Nonsens Nazwa" ataku, a większość serwerów są zagrożone, ponieważ skierowany serwerów nazw.
Jak to działa
Pozorna celem ataku Nonsens nazwa jest kierować autorytatywne serwery nazw dla strefy DNS przez przeważające ich prośby rekurencyjnych serwerach nazw. Proces ten przebiega w następujący sposób:
- Bot (lub sieci botów) tworzy dużą liczbę domen nonsensownych w strefie docelowej zapytania. Jeśli atak jest uruchomiony przed domain.zone, na przykład, będzie ona wytwarzać abcde.domain.zone, fghij.domain.zone, klmno.domain.zone i tak dalej, a następnie wysyłać zapytania do wszystkich z nich rekurencyjnych serwerów nazw ,
- Rekurencyjnego serwery nazw będą, jak to ich praca, wyślij zapytanie na każdym z autorytatywnych serwerów nazw dla domain.zone, które następnie w naturalny sposób zwraca odpowiedź kod NXDOMAIN (czyli nazwy są pytani nie istnieją) do rekurencyjnych serwerach.
- Jeśli kwerendy przychodzić na tyle szybko, w końcu to autorytatywne serwery nazw przestanie im odpowiada. To z kolei zatyka się rekurencyjnego serwerów nazw dokonującej żądań, a zabrakło slotów zapytania. W tym momencie, rekurencyjne serwery będą po prostu odmówić wszystkie nowe pytania, nawet te uzasadnione. W efekcie, serwer jest całkowicie zatrzymana z rozstrzygnięcia żądań klientów.
Nawet jeśli celem jest trafienie autorytatywne serwery nazw, wszystkie rekurencyjnych serwerów nazw zaangażowane są ofiarami, jak również.
Czynienia z Nonsens Nazwa ataku
Pierwszym krokiem w obchodzeniu się z tym nowym zagrożeniem jest mieć świadomość, na co zwrócić uwagę. Gdy serwer rekurencyjny nazwa zaczyna wysyłania wiadomości "Klienci nie więcej cyklicznych; Kwota osiągnięta "do syslog, należy natychmiast podejrzewać, że brak wolnych slotów zapytań rekurencyjnych jest spowodowane Nonsense Name. Te komunikaty syslog będzie zawierać adresy IP Dokonywanie zapytań, więc jeśli wyglądają podejrzanie można szybko wyłączyć je za pomocą listy kontroli dostępu.
Jeśli nie jesteś pewien co do adresów IP, robi się bardziej skomplikowana. Najlepszym rozwiązaniem jest użycie RPZ (strefa Polityka Response) funkcji w BIND powiedzieć serwery nazw nie wysyłać żadnych zapytań obejmujących strefy dotkniętej. Można by utworzyć regułę, która wygląda tak:
* .domain.zone.the.rpz.zone IN CNAME.
a następnie ustaw opcję qname-wait--recurse w BIND na "nie". Po tym, każdy zapytań domeny w domain.zone automatycznie otrzyma odpowiedź z serwera kod NXDOMAIN rekurencyjnego, a autorytatywne serwery nazw nigdy nie angażować się w ogóle ,
Dla rekurencyjnych serwerów nazw, które nie prowadzą BIND (lub nie zostały zaktualizowane do BIND 9.1), najlepszym rozwiązaniem jest, aby utworzyć pusty, "obojętne" strefy zastąpić prawdziwego domain.zone. Oznacz ją jako autorytatywny serwer nazw dla strefy, a wszelkie zapytania będzie wtedy uzyskać odpowiedź kod NXDOMAIN.
Oczywiście, są to zarówno zmiany tymczasowe; gdy atak się skończy, trzeba ustawić rzeczy z powrotem na drogę Byli w porządku dla rozdzielczości domeny, aby wznowić.
W niedalekiej przyszłości, Internet Systems Consortium planuje wydać dwie nowe opcje konfiguracji serwera nazw BIND, które automatycznie ograniczy zapytań jak te tworzone przez nonsensem ataków nazwę. Do tego czasu, powyższe poprawki powinny ograniczyć nonsens serwery nazwa może twarz.
