Blocco del traffico in entrata dalla porta privilegiata (1024) per mitigare gli attacchi di amplificazione del DDos DNS

Question

Blocco del traffico in entrata dalla porta privilegiata (1024) per mitigare gli attacchi di amplificazione del DDos DNS

#1 da (1 voti)
#2 da (0 voti)

4

Spero che qualcuno possa chiarire.

Come ho capito, in un DNS DDos Amplification attacca

Più query DNS vengono inviate a un server dei nomi vulnerabile con l'IP di origine spoofato a quello del server di destinazione.
Il server dei nomi restituisce la risposta (con la porta di origine UDP 53) al server di destinazione.
Sul server di destinazione, il server dei nomi ha originato una connessione con la porta di origine UDP 53

Per il firewall del server di destinazione, ha senso bloccare tutto il traffico di origine con la porta di origine 53? In effetti, possiamo bloccare qualsiasi traffico in entrata che abbia una porta sorgente inferiore a 1024?

dns attacks firewalls ddos

posta MikeLim 09.04.2014 - 07:05

fonte

2 risposte

Leggi altre domande sui tag dns attacks firewalls ddos

Sfide di creare una divulgazione responsabile per il mio corso Password di attività pianificate di Windows

score 1 · Answer 1

Sì!

Se il tuo server è un server ricorsivo, blocca TUTTE le query da fonti sconosciute / non attendibili, indipendentemente dalla porta sorgente. Dovresti anche bloccare le query, anche da fonti attendibili, con una porta di origine 53.

Se il tuo server è un server autorevole, sì, dovresti comunque bloccare le query con una porta sorgente di 53.

In effetti, dovresti bloccare le query con qualsiasi porta di origine privilegiata e persino alcune porte di origine non privilegiate. Ad esempio, 5060 (SIP) è anche una buona porta sorgente da bloccare.

Ecco perché:

Il tuo server invierà la sua risposta all'IP sorgente e alla porta. A causa della natura dell'UDP, entrambi possono essere falsificati.

In un attacco DDoS sul server dei nomi di terze parti, l'utente malintenzionato può falsificare l'IP della vittima e la porta (DNS) del servizio vittima (UDP 53) e inviare una query al server. Il tuo server invierà la (molto più grande) risposta al server delle vittime e involontariamente diventerà un'arma nell'attacco DDoS stesso.

La stragrande maggioranza dei nameserver invia query da una porta di origine non privilegiata a caso. Il semplice fatto che una query provenga da UDP 53 è di per sé un strong indicatore del fatto che sia dannoso.

Il blocco in questo modo non farà molto per proteggere il tuo server dall'essere vittima di un DDoS, ma aiuterà a proteggere il tuo server dall'essere utilizzato per aiutare a perpetrare un DDoS

score 0 · Answer 2

Il blocco di tutto il traffico di origine con la porta di origine 53 non risolverà il problema.

L'attacco di amplificazione del DNS è una specie di attacco DDOS volumetrico, indipendentemente da quanto il firewall possa bloccare / gestire il cattivo traffico, la tua pipeline sarà comunque sfruttata.

Vuoi bloccare i traffici dello spoof DNS il più vicino possibile al bordo di Internet.

Prova a contattare l'ISP per assistenza per rifiutare qualsiasi traffico DNS con indirizzi falsificati
Implementa il routing blackhole sul router edge Internet se il tuo router è in grado di gestirlo

Se il tuo è un server web, prova ad iscriverti a servizi come CloudFlare , dovrebbero essere in grado di gestire una così grande quantità di protezione DDoS