web-dev-qa-db-ja.com

DNS増幅DDOS攻撃

週末に、DNS増幅DDOS攻撃をシミュレートするためにいくつかのテストを行いました。約90Mb/sのトラフィックを送信約x.x Gb/sの増幅されたトラフィックを生成でき、データセンターを数秒でオフラインに送信しました。この種の攻撃が毎日人気を博している今、それを軽減するためのベストプラクティスを知りたいと思っています。 DNS増幅DOS攻撃を緩和した経験はありますか?

-----可能な回避策の編集-----

  1. 送信元ポート53で着信トラフィックをブロックするようプロバイダーに依頼します。

  2. (@rookの推奨)Cloudflare、Akmai、またはverisignのような大きな人にそれを処理してもらうには、コストがかかる場合がありますが、プロバイダーが支援できない場合は非常に効果的です。

  3. (@ user24077によって提案されました)リモートトリガーブラックホールルーティング/フィルタリング戦略を実装するには、これは効果的ではありますが、ノードまたはクライアントを保護しようとするときに完全な帯域幅を浪費してしまう可能性があるため危険です。

18
HEX

CERTはこれを DNSの脆弱性 として認識します。現状では、この攻撃で使用される可能性のある約 2700万の誤った構成(読み取り:デフォルト!)DNSサーバー があります。

理想的には、これらのUDPパケットがEdgeルーター(プロバイダー)でフィルター処理することによって宛先に到達しないようにする必要があります。残念ながら、多くのプロバイダーがこのサービスを提供していません。 Cloudflare この方法を使用して、この攻撃を緩和します。

別の方法は GEO IPベースのロードバランシング を使用することです。これは多くのCDNの背後にある魔法であり、DNSはあなたに最も近いサーバーを解決します。 DoS攻撃では、これは負荷を分散し、停止を特定のリージョンに分離するのに役立ちます。 DNS増幅攻撃を防ぐためにDNSを使用することには、いくつかの優雅さもあります。

最終的に、DNS増幅に使用されるサーバーは適切に構成されます。しかし、このソリューションが実現してから10年以上経っている可能性があります。

ほとんどの人にとって、cloudflareやakamaiなどのサービスを使用することが最善のソリューションです。

25
rook

過去に、リモートインターネットに接続しているルーターにリモートトリガーブラックホールルーティング/フィルタリング技術を実装しました。この手法は効果的であることが証明されており、送信元または宛先のトラフィックに基づいて実装できます。さらに掘り下げたい場合に参照できるリンクがあります。実装が簡単で費用対効果が高い。

http://www.Cisco.com/web/about/security/intelligence/blackhole.pdf

5
user24077

記事 DNS増幅とDNSSEC の抜粋から直接取られたDNS増幅の緩和ステップのリスト。

インターネット上にオープンDNSリゾルバーを配置しないでください。リゾルバーにアクセスできるクライアントを制限すると、攻撃者が悪意を持ってそれを使用する能力が大幅に低下します。これは、ファイアウォールルール、ルーターIPアクセスリスト、またはその他の方法を使用して実現できます。

ネットワークルーターでユニキャストリバースパス転送(URPF)を構成することにより、IPアドレスのスプーフィングを防止します。 URPF(RFC3074で定義)を使用するように構成されたルーターは、パケットの送信元アドレスと内部ルーティングテーブルを比較して、アドレスが妥当かどうかを判断することにより、攻撃者がパケットを偽装する能力を制限します。そうでない場合、パケットは破棄されます。

侵入防止システム(IPS)デバイスを展開するか、何らかの方法でDNSSECトラフィックを監視します。同じターゲットアドレスを持つ多数の発信パケット、特にその数が突然急増する場合は、アクティブな攻撃の良い指標です。フィルターを導入して、疑わしい着信パケットをドロップ、制限、または遅延させると、ローカルネットワークおよび攻撃対象に対する攻撃の影響を軽減できます。前述のように、Windows DNSサーバーは、一致しない応答パケットをドロップし、パフォーマンスおよび統計カウンターに記録します。これらのカウンタを定期的に監視することが重要です。

0
Saladin