DNS Amplification DDOS attack

18

Durante il fine settimana ho fatto alcuni test per simulare un attacco DDOS di amplificazione DNS. inviando circa 90 Mb / s di traffico sono stato in grado di generare circa x.x Gb / s di traffico amplificato che ha inviato il nostro datacenter offline in pochi secondi. Ora che questo tipo di attacco sta diventando popolare ogni giorno sono curioso di conoscere le migliori pratiche per mitigarlo. Qualcuno ha avuto esperienza nell'attenuare l'attacco del DNS Amplification DOS?

----- Modifica possibili soluzioni alternative -----

  1. Chiedi al fornitore di bloccare il traffico in entrata con la porta di origine 53.

  2. (Consigliato da @rook) Per avere ragazzi grandi come Cloudflare, Akmai o Verisign per gestirlo per te, che può costare, ma può essere molto efficace quando il provider non è in grado di aiutare.

  3. (suggerito da @ user24077) Implementare la strategia di routing / filtraggio di Black Trigger Black Hole che a mio parere può essere efficace ma rischiosa perché si può finire a sprecare l'intera larghezza di banda mentre si tenta di proteggere un nodo o un client.

posta HEX 01.04.2013 - 19:57
fonte

3 risposte

25

CERT riconosce questo come una vulnerabilità nel DNS . Così com'è, ci sono circa 27 milioni di server DNS errati (leggi: Predefiniti!) che possono essere utilizzati in questo attacco.

Idealmente si desidera impedire a questi pacchetti UDP di raggiungere la loro destinazione filtrandoli sul router periferico (che è il proprio provider). Purtroppo non molti provider offrono questo servizio. Cloudflare utilizza questo metodo per mitigare questo attacco.

Un altro metodo sta usando bilanciamento del carico basato su IP GEO . Questa è la magia dietro molti CDN in quanto, DNS risolve il server più vicino a te. In un attacco DoS questo aiuta a distribuire il carico e isolare le interruzioni su una o più regioni. C'è anche un po 'di eleganza nell'usare DNS per aiutare a prevenire attacchi di amplificazione DNS.

Alla fine i server utilizzati per l'amplificazione DNS saranno configurati correttamente. Ma questa soluzione è probabilmente più di 10 anni dalla realizzazione.

Per la maggior parte delle persone, l'utilizzo di un servizio come cloudflare o akamai è la soluzione migliore.

    
risposta data 01.04.2013 - 20:32
fonte
5

In passato ho implementato tecniche di Routing / Filtraggio del Black Hole di Trigger remoto sui router front-side di Internet. Questa tecnica è stata dimostrata efficace, può essere implementata in base al traffico di origine o di destinazione, qui è disponibile un collegamento a cui fare riferimento se si desidera approfondire ulteriormente. Facile da implementare e conveniente.

link

    
risposta data 01.04.2013 - 20:52
fonte
0

Elenco dei passaggi di attenuazione per l'amplificazione DNS prelevati direttamente dall'estratto nell'articolo Amplificazione DNS e DNSSEC .

Do not place open DNS resolvers on the Internet. Limiting the clients that can access the resolver greatly decreases the ability of an attacker to use it maliciously. This can be accomplished using firewall rules, router IP access lists, or other methods.

Prevent IP address spoofing by configuring Unicast Reverse Path Forwarding (URPF) on network routers. A router configured to use URPF (defined in RFC3074) limits an attacker’s ability to spoof packets by comparing the packet’s source address with its internal routing tables to determine if the address is plausible. If not, the packet is discarded.

Deploy an intrusion prevention system (IPS) device or monitor DNSSEC traffic in some way. Large numbers of outgoing packets with the same target address, especially whose count suddenly spikes, is a good indicator of an active attack. Deploying filters to drop, limit, or delay the incoming suspect packets should lessen the impact of the attack on the local network and attack target. As previously mentioned, Windows DNS servers drop unmatched response packets and log them in performance and statistics counters. It is important to regularly monitor these counters.

    
risposta data 01.04.2013 - 23:38
fonte

Leggi altre domande sui tag