Nonesense名攻擊是一個嚴重的問題為系統管理者
- Category: DDoS攻擊
- Author: Admin
- Publisher:
Psychz Networks
- June 05,2015
至於如果數據中心和服務器管理員沒有足夠的理由擔心,當涉及到他們的設施的安全,另一個嚴重的問題已經浮出水面。這是一種拒絕服務攻擊被稱為“廢話名”攻擊,並且大多數服務器處於危險之中,因為它的目標名稱服務器。
怎麼運行的
廢話名稱攻擊的目標顯然是針對權威名稱服務器的DNS區域,通過與遞歸域名服務器的請求壓倒他們。這個過程是這樣的:
- 殭屍(或殭屍網絡)創建了大量的目標區域來查詢廢話域。如果攻擊正在對domain.zone推出,例如,它會產生abcde.domain.zone,fghij.domain.zone,klmno.domain.zone等等,然後發送查詢為所有這些遞歸域名服務器。
- 遞歸域名服務器會,因為是他們的工作,發送到權威名稱服務器的domain.zone,然後自然地返回NXDOMAIN響應(意為被查詢的名稱不存在)的遞歸服務器的每個查詢。
- 如果查詢滾滾而來不夠快,最終的權威名稱服務器將停止回答這些問題。這反過來又堵塞了遞歸域名服務器發出請求,他們用完查詢插槽。在這一點上,遞歸服務器將簡單地拒絕所有新的查詢,即使是合法的的。實際上,服務器完全從解決客戶端的請求停止。
即使目標是擊中權威名稱服務器,所有涉及遞歸名稱服務器的受害為好。
用廢話名稱應對攻擊
在處理這一新的威脅的第一步是要知道要尋找什麼。當一個遞歸域名服務器開始發送消息“沒有更多的遞歸的客戶;達到了“到syslog配額,應立即懷疑缺乏自由遞歸查詢插槽是由於胡說名稱。這些系統日誌消息將包含IP地址,使得查詢,因此,如果他們看起來很可疑,你可以迅速通過使用訪問控制列表中排除。
如果你不知道的IP地址,事情變得更加複雜。最好的辦法是使用RPZ(響應策略區)功能BIND告訴名稱服務器不發送涉及影響區的任何疑問。你會建立一個規則,看起來像這樣:
* .domain.zone.the.rpz.zone IN CNAME。
然後在綁定的QName,等待遞歸選項設置為“無”。在這之後,任何人都在詢問一個domain.zone將域名自動接收來自服務器遞歸的NXDOMAIN響應,而權威名稱服務器永遠不會涉足所有。
對於不運行BIND(或尚未更新到BIND 9.1)遞歸域名服務器,最好的選擇是創建一個空的,“虛擬”區域來代替真正的domain.zone。標籤作為該區域的權威域名服務器,然後任何疑問將得到NXDOMAIN響應。
當然,這些都是暫時的變化;一旦發作結束後,你需要設置的東西回到他們是為了的方式進行域名解析恢復。
在不久的將來,互聯網系統協會正計劃推出針對BIND域名服務器配置兩個新的選項,它會自動限制像廢話名襲擊中創建的查詢。在此之前,上述修復應該限制你的域名服務器可能面臨的廢話。
