GNU/Linux >> Tutoriels Linux >  >> Linux

Procédure :Attaque par amplification du serveur de noms de domaine (DNS)

Présentation

Une attaque par amplification de serveur de noms de domaine (DNS) est une forme populaire de déni de service distribué (DDoS), dans laquelle les attaquants utilisent des serveurs DNS ouverts accessibles au public pour inonder un système cible avec le trafic de réponse DNS. La technique principale consiste pour un attaquant à envoyer une demande de recherche de nom DNS à un serveur DNS ouvert avec l'adresse source usurpée pour être l'adresse de la cible.

réf :https://www.us-cert.gov/ncas/alerts/TA13-088A

Désactivation de la récursivité sur les serveurs de noms faisant autorité

De nombreux serveurs DNS actuellement déployés sur Internet sont exclusivement destinés à fournir une résolution de noms pour un seul domaine. Dans ces systèmes, la résolution DNS pour les systèmes clients privés peut être fournie par un serveur séparé et le serveur faisant autorité agit uniquement comme une source DNS d'informations de zone pour les clients externes. Ces systèmes n'ont pas besoin de prendre en charge la résolution récursive d'autres domaines pour le compte d'un client et doivent être configurés avec la récursivité désactivée.

Lier9

Ajoutez ce qui suit aux options globales :

options {
 allow-query-cache { none; };
 recursion no;
 };

Serveur DNS Microsoft

Dans l'outil de console DNS Microsoft :

  1. Cliquez avec le bouton droit sur le serveur DNS et cliquez sur Propriétés.
  2. Cliquez sur l'onglet Avancé.
  3. Dans les options du serveur, cochez la case "Désactiver la récursivité", puis cliquez sur OK.

Limiter la récursivité aux clients autorisés

Pour les serveurs DNS déployés au sein d'une organisation ou d'un fournisseur de services Internet, le résolveur doit être configuré pour effectuer des requêtes récursives au nom de clients autorisés uniquement. Ces demandes ne doivent généralement provenir que de clients appartenant à la plage d'adresses réseau de l'organisation. Nous recommandons vivement à tous les administrateurs de serveur de limiter la récursivité aux seuls clients du réseau de l'organisation.

BIND9

Dans les options globales, incluez les éléments suivants :

acl corpnets { 192.168.1.0/24; 192.168.2.0/24; };
options {
allow-query { any; };
allow-recursion { corpnets; };
};

Serveur DNS Microsoft

Il n'est actuellement pas possible de restreindre les requêtes DNS récursives à une plage d'adresses client particulière dans Microsoft DNS Server. Pour se rapprocher de la fonctionnalité des listes de contrôle d'accès BIND dans le serveur DNS de Microsoft, un autre serveur de noms de mise en cache uniquement doit être configuré en interne pour fournir une résolution récursive. Une règle de pare-feu doit être créée pour bloquer l'accès entrant au serveur de mise en cache uniquement depuis l'extérieur du réseau de l'organisation. La fonctionnalité de serveur de noms faisant autorité devrait alors être hébergée sur un serveur séparé, mais configurée pour désactiver la récursivité comme décrit précédemment.

Limitation du taux de réponse (RRL)

Il existe actuellement une fonctionnalité expérimentale disponible sous la forme d'un ensemble de correctifs pour BIND9 qui permet à un administrateur de limiter le nombre maximum de réponses par seconde envoyées à un client à partir du serveur de noms. Cette fonctionnalité est destinée à être utilisée uniquement sur les serveurs de noms de domaine faisant autorité car elle affectera les performances des résolveurs récursifs. Pour fournir la protection la plus efficace, nous recommandons que les serveurs de noms faisant autorité et récursifs s'exécutent sur des systèmes différents, avec RRL mis en œuvre sur le serveur faisant autorité et les listes de contrôle d'accès mises en œuvre sur le serveur récursif. Cela réduira l'efficacité des attaques d'amplification DNS en réduisant la quantité de trafic provenant d'un seul serveur faisant autorité sans affecter les performances des résolveurs récursifs internes.

BIND9

Il existe actuellement des correctifs disponibles pour 9.8.latest et 9.9.latest pour prendre en charge RRL sur les systèmes UNIX. Red Hat a mis à disposition des packages mis à jour pour Red Hat Enterprise Linux 6 afin de fournir les modifications nécessaires dans l'avis RHSA-2013:0550-1. Sur l'implémentation de BIND9 exécutant les correctifs RRL, incluez les lignes suivantes dans le bloc d'options des vues faisant autorité :

rate-limit {
 responses-per-second 5;
 window 5;
 };

Serveur DNS Microsoft

Cette option n'est actuellement pas disponible pour Microsoft DNS Server.


Linux

  1. Comment identifier le nom du logiciel du serveur DNS distant et sa version ?

  2. Comment renommer un domaine

  3. Comment utiliser le gestionnaire DNS de base ?

  4. Comment utiliser le gestionnaire DNS avancé ?

  5. Comment ajouter un pointeur de nom de domaine ?

Comment installer le rôle DNS sur Windows Server 2012

Comment :joindre un serveur Windows 2012 à un domaine

Comment configurer DNS dans Windows Server 2012

Comment créer un contrôleur de domaine sous Linux pour AD

Comment installer et configurer le serveur DNS sous Linux

Qu'est-ce que DNS et comment fonctionne DNS ? (Principes fondamentaux du serveur de noms de domaine)