Nonesense名攻击是一个严重的问题为系统管理者
- Category: DDoS攻击
- Author: Admin
- Publisher:
Psychz Networks
- June 05,2015
至于如果数据中心和服务器管理员没有足够的理由担心,当涉及到他们的设施的安全,另一个严重的问题已经浮出水面。这是一种拒绝服务攻击被称为“废话名”攻击,并且大多数服务器处于危险之中,因为它的目标名称服务器。
怎么运行的
废话名称攻击的目标显然是针对权威名称服务器的DNS区域,通过与递归域名服务器的请求压倒他们。这个过程是这样的:
- 僵尸(或僵尸网络)创建了大量的目标区域来查询废话域。如果攻击正在对domain.zone推出,例如,它会产生abcde.domain.zone,fghij.domain.zone,klmno.domain.zone等等,然后发送查询为所有这些递归域名服务器。
- 递归域名服务器会,因为是他们的工作,发送到权威名称服务器的domain.zone,然后自然地返回NXDOMAIN响应(意为被查询的名称不存在)的递归服务器的每个查询。
- 如果查询滚滚而来不够快,最终的权威名称服务器将停止回答这些问题。这反过来又堵塞了递归域名服务器发出请求,他们用完查询插槽。在这一点上,递归服务器将简单地拒绝所有新的查询,即使是合法的的。实际上,服务器完全从解决客户端的请求停止。
即使目标是击中权威名称服务器,所有涉及递归名称服务器的受害为好。
用废话名称应对攻击
在处理这一新的威胁的第一步是要知道要寻找什么。当一个递归域名服务器开始发送消息“没有更多的递归的客户;达到了“到syslog配额,应立即怀疑缺乏自由递归查询插槽是由于胡说名称。这些系统日志消息将包含IP地址,使得查询,因此,如果他们看起来很可疑,你可以迅速通过使用访问控制列表中排除。
如果你不知道的IP地址,事情变得更加复杂。最好的办法是使用RPZ(响应策略区)功能BIND告诉名称服务器不发送涉及影响区的任何疑问。你会建立一个规则,看起来像这样:
* .domain.zone.the.rpz.zone IN CNAME。
然后在绑定的QName,等待递归选项设置为“无”。在这之后,任何人都在询问一个domain.zone将域名自动接收来自服务器递归的NXDOMAIN响应,而权威名称服务器永远不会涉足所有。
对于不运行BIND(或尚未更新到BIND 9.1)递归域名服务器,最好的选择是创建一个空的,“虚拟”区域来代替真正的domain.zone。标签作为该区域的权威域名服务器,然后任何疑问将得到NXDOMAIN响应。
当然,这些都是暂时的变化;一旦发作结束后,你需要设置的东西回到他们是为了的方式进行域名解析恢复。
在不久的将来,互联网系统协会正计划推出针对BIND域名服务器配置两个新的选项,它会自动限制像废话名袭击中创建的查询。在此之前,上述修复应该限制你的域名服务器可能面临的废话。
