В случае центров обработки данных и администраторы серверов не было достаточно, чтобы беспокоиться о том, когда речь идет о безопасности своих установок, еще одна серьезная проблема всплыла. Это тип DDoS атаки называют «Ерунда Name" атака, и большинство серверов находятся под угрозой, поскольку он нацелен на серверы имен.
Как это работает
Очевидная цель нонсенс Имя атаки является целевой серверами имен для зоны DNS, подавляющим их запросами от рекурсивных серверов имен. Процесс работает следующим образом:
- Бот (или сеть ботов) создает большое количество бессмысленных доменов в целевой зоне для запроса. Если атака в настоящее время запущен против domain.zone, например, он будет генерировать abcde.domain.zone, fghij.domain.zone, klmno.domain.zone и так далее, а затем посылать запросы для всех из них рекурсивных серверов имен ,
- Рекурсивные серверы имен будет, так как это их работа, отправить каждый запрос на авторитетных серверов имен для domain.zone, которые затем естественно возвращают ответ NXDOMAIN (это означает, имена запрашиваются не существуют) на рекурсивных серверах.
- Если запросы продолжают поступать достаточно быстро, в конце концов авторитетные серверы имен перестанут отвечать на них. Это, в свою очередь, закупоривает рекурсивные серверы имен делая запросы, и они бегут из слотов запроса. В тот момент, рекурсивные серверы просто откажутся все новые запросы, даже законные из них. В сущности, сервер полностью остановлен от решения клиентских запросов.
Даже если цель состоит в том, чтобы поразить полномочных серверов имен, все рекурсивных серверов имен, участвующих преследуются, а также.
Имея дело с Чепуха Имя Attack
Первым шагом в решении этой новой угрозе, чтобы знать, что искать. Когда сервер рекурсивный имя начинается передача сообщения "не более рекурсивные клиентов; квота достигла "в системный журнал, вы должны немедленно подозревать, что отсутствие свободных слотов рекурсивных запросов из-за глупости Имя. Эти сообщения системного журнала будет содержать IP-адреса, что делает запросы, так что если они выглядят подозрительными вы можете быстро исключить их с помощью списка управления доступом.
Если вы не уверены в IP-адреса, все становится сложнее. Наилучшим подходом является использование Rpz (зоны политики реагирования) функции в BIND сказать серверы имен не посылать какие-либо вопросы, связанные с пораженную зону. Вы бы создать правило, которое выглядит следующим образом:
* .domain.zone.the.rpz.zone IN CNAME.
а затем установить QName-WAIT-рекурсивной опции в BIND на "нет". После этого, любой запрос домена в domain.zone будет автоматически получать ответ NXDOMAIN от рекурсивного сервера, а также авторитетные серверы имен никогда бы не ввязываться вообще ,
Для рекурсивных серверов имен, которые не работают BIND (или не были обновлены до BIND 9.1), лучшим вариантом является создание пустой, "фиктивный" зону на замену для реального domain.zone. Добавьте его в качестве авторитетного сервера имен для зоны, и любые запросы будут затем получить ответ NXDOMAIN.
Конечно, это как временные изменения; как только атака закончена, вам необходимо установить вещи обратно так, как они были в порядке для разрешения домена возобновить.
В ближайшее время, Консорциум Internet Systems планирует выпустить два новых варианта конфигурации сервера имен BIND, которые автоматически ограничивают запросы, как те, созданных нонсенс атак Имя. До тех пор, вышеуказанные исправления не должны ограничивать нонсенс ваши серверы имен могут столкнуться.
