HGIGA Service Docs 
» 遊客:  註冊 | 登錄 | 統計 | 幫助
RSS 訂閱當前論壇  

上一主題 下一主題
       
標題: [BIND] : 安全配置  
 
service.support





UID 14
精華 0
積分 0
帖子 523
閱讀權限 200
註冊 2006-10-2
狀態 離線
[BIND] : 安全配置

最近常常碰到 DNS 的 DDoS 攻擊,如下

l   攻擊者 : A
l   受攻擊者 : B (e.g hgiga.com)
l   跳板: C (一般常見的 DNS 主機)

        1. A 找出一堆 C,並測試是否可接收 Recursive DNS 查詢 (如中華電信 DNS 或是 Google DNS, 接受網際網路人員的 DNS 查詢)
        2. A 向 C 不斷送出Recursive DNS 查詢 (單台主機一秒 20 個查詢) ,查詢的紀錄是B 所屬網域 (ANY, hgiga.com)
        3. 一堆C 會不斷向 B 送出查詢 (如果有 500 個 C, 每秒會產生 500 x 20 = 10000的情求)
        4. B 只會看到一堆 C 來送出查詢,無法知道其實是 A 所提交的。 B 有可能會掛點..
        5. 對 C 來說,每收到來自 A 的一個查詢,需要向 B 送出一個查詢與送出給 A 的答覆,會造成 C 線路頻寬的大量浪費

        主要的問題是在於 C , C 接受

        a. Recursive 查詢,所以接受到 A 的 DNS Query,會想辦法去跟 B 詢問紀錄
        b. Non-Local 查詢,所以收到 Internet 使用者的查詢 (如 A),也會代為找尋

        建議方式

        1. 使用 allow-query ,  allow-query 參數
        2. 預設參數
                a. 只接受來自本機與私有網段的 Recursive Query
                b. 只接受來自本機與私有網段的 DNS 查詢
        3. 本地網域
                接受所有的查詢
   
        這樣可以防止上述的跳板攻擊

        options {
        directory "/var/named";
        pid-file "/var/run/named.pid";
        allow-recursion {127.0.0.0/8; 10.0.0.0/24; 172.16.0.0/12; 192.168.0.0/16;};
        allow-query {127.0.0.0/8; 10.0.0.0/24; 172.16.0.0/12; 192.168.0.0/16;};
        };

        zone "qa.hgiga.com" {
        type master;
        file "/var/named/qa.hgiga.com.hosts";
        allow-update {127.0.0.1;};
        allow-transfer {127.0.0.1;};
        allow-query { any;};
        };

        備註: 新版的 PS 會預設啟用這兩個選項,但既有的客戶 (包括升級後) 是不受影響。
        如果要啟用,需要手動設定
2013-3-26 11:00#1
查看資料  Blog  發短消息  Yahoo!  頂部
       


  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題  


 

   Powered by Discuz! 4.1.0  © 2001-2006 Transformed by wxxslt for HGIGA Inc. / Service Support
Processed in 0.012226 second(s), 6 queries , Gzip enabled

所有時間為 GMT+8, 現在時間是 2024-11-23 03:20