Services
- Infrastructure
  - iColocation
- Compute
  - cMetal
- Storage
  - sObject
  - sBlock
- Networking
- Protection
  - pBackup
  - pDDoS
Solutions
- Ecommerce
- Security
- Gaming
- Hosting
- Management
- Finance
- System Integrator
Dashboard

Nonesense Tên Attacks Are A Lo ngại nghiêm trọng cho Sys Admins

Category: DDoS
Author: Admin
Publisher: Psychz Networks
June 05,2015

Nếu như các trung tâm dữ liệu và các quản trị viên máy chủ đã không có đủ tiền để lo lắng khi nói đến sự an toàn của bản cài đặt của họ, nhưng một vấn đề nghiêm trọng đã nổi lên. Đó là một loại tấn công DDoS được gọi là "Vô danh" tấn công, và hầu hết các máy chủ có nguy cơ vì nó nhắm vào các máy chủ tên.

Làm thế nào nó hoạt động

Mục tiêu rõ ràng của một cuộc tấn công Nonsense Tên là nhằm vào các máy chủ tên có thẩm quyền đối với một vùng DNS, bằng cách áp đảo chúng với yêu cầu từ máy chủ tên đệ quy. Quá trình hoạt động theo cách này:

Một bot (hoặc mạng của chương trình) tạo ra một số lượng lớn các lĩnh vực điều vô lý trong các khu vực mục tiêu để truy vấn. Nếu tấn công được đưa ra chống lại domain.zone, ví dụ, nó sẽ tạo ra abcde.domain.zone, fghij.domain.zone, klmno.domain.zone và như vậy, và sau đó gửi các truy vấn cho tất cả chúng đến các máy chủ tên đệ quy .
Các máy chủ tên đệ quy sẽ, như là công việc của họ, gửi cho mỗi truy vấn tới máy chủ tên có thẩm quyền cho domain.zone, sau đó tự nhiên trở lại một phản ứng NXDOMAIN (có nghĩa là những cái tên được truy vấn không tồn tại) đến các máy chủ đệ quy.
Nếu các truy vấn tiếp tục đến đủ nhanh, cuối cùng các máy chủ tên có thẩm quyền sẽ ngừng trả lời chúng. Điều đó lần lượt bịt kín lên các máy chủ tên đệ quy làm cho các yêu cầu, và họ chạy ra khỏi khe truy vấn. Vào thời điểm đó, các máy chủ đệ quy sẽ chỉ đơn giản là từ chối tất cả các truy vấn mới, ngay cả những người hợp pháp. Trong thực tế, các máy chủ được hoàn toàn ngừng từ giải quyết các yêu cầu của khách hàng.

Ngay cả nếu mục tiêu là để đánh máy chủ tên có thẩm quyền, tất cả các máy chủ tên đệ quy liên quan được nạn nhân là tốt.

Đối phó với một Nonsense Tên tấn công

Bước đầu tiên trong việc xử lý mối đe dọa này là phải nhận thức được những gì để tìm. Khi một máy chủ tên đệ quy bắt đầu gửi thông điệp "khách hàng không đệ quy nhiều hơn; hạn ngạch đạt "đến syslog, bạn nên ngay lập tức nghi ngờ rằng việc thiếu các khe truy vấn đệ quy miễn phí là do Tên Vô nghĩa. Những thông điệp syslog sẽ chứa các địa chỉ IP làm cho các truy vấn, vì vậy nếu họ nhìn nghi ngờ bạn có thể nhanh chóng loại trừ chúng bằng cách sử dụng một danh sách kiểm soát truy cập.

Nếu bạn không chắc chắn về các khu công nghiệp, mọi thứ trở nên phức tạp hơn. Phương pháp tốt nhất là sử dụng các RPZ (khu chính sách phản ứng) hàm trong BIND để nói với các máy chủ tên không gửi bất kỳ truy vấn liên quan đến các khu vực bị ảnh hưởng. Bạn sẽ thiết lập một quy tắc đó trông như thế này:

* .domain.zone.the.rpz.zone TRÊN CNAME.

và sau đó thiết lập các tùy chọn QName-wait-recurse trong BIND để "không". Sau đó, bất cứ ai truy vấn một miền trong domain.zone sẽ tự động nhận được phản hồi từ máy chủ NXDOMAIN đệ quy, và các máy chủ tên có thẩm quyền sẽ không bao giờ tham gia vào tất cả các .

Đối với các máy chủ tên đệ quy mà không chạy BIND (hoặc chưa được cập nhật để BIND 9.1), lựa chọn tốt nhất là để tạo ra một sản phẩm nào, "giả" vùng để thay thế cho các domain.zone thực. Nhãn nó như là máy chủ tên có thẩm quyền đối với các khu vực, và bất kỳ truy vấn sau đó sẽ nhận được phản ứng NXDOMAIN.

Tất nhiên, cả hai đều thay đổi tạm thời; một khi các cuộc tấn công trên, bạn sẽ cần phải đặt mọi thứ trở lại cách họ đã để cho giải pháp tên miền để tiếp tục.

Trong tương lai gần, Internet Systems Consortium đang có kế hoạch để phát hành hai tùy chọn mới cho cấu hình máy chủ tên BIND, mà sẽ tự động giới hạn các truy vấn như những người tạo ra bởi các cuộc tấn công Tên Vô nghĩa. Cho đến lúc đó, các bản sửa lỗi trên nên hạn chế vô lý máy chủ tên của bạn có thể phải đối mặt.