- PowerFamily Q/A - [BIND] : 安全配置 HGIGA Service Docs

service.support

UID 14
精華 0
積分 0
帖子 523
閱讀權限 200
註冊 2006-10-2
狀態離線

[BIND] : 安全配置

最近常常碰到 DNS 的 DDoS 攻擊，如下

l 攻擊者 : A
l 受攻擊者 : B (e.g hgiga.com)
l 跳板: C (一般常見的 DNS 主機)

      1. A 找出一堆 C，並測試是否可接收 Recursive DNS 查詢 (如中華電信 DNS 或是 Google DNS, 接受網際網路人員的 DNS 查詢)
      2. A 向 C 不斷送出Recursive DNS 查詢　（單台主機一秒 20 個查詢) ，查詢的紀錄是B 所屬網域 (ANY, hgiga.com)
      3. 一堆C 會不斷向 B 送出查詢 (如果有 500 個 C, 每秒會產生 500 x 20 = 10000的情求)
      4. B 只會看到一堆 C 來送出查詢，無法知道其實是 A 所提交的。 B 有可能會掛點..
      5. 對 C 來說，每收到來自 A 的一個查詢，需要向 B 送出一個查詢與送出給 A 的答覆，會造成 C 線路頻寬的大量浪費

      主要的問題是在於 C　, C 接受

      a. Recursive 查詢，所以接受到 A 的 DNS Query，會想辦法去跟 B 詢問紀錄
      b. Non-Local 查詢，所以收到 Internet 使用者的查詢 (如 A)，也會代為找尋

      建議方式

      1. 使用 allow-query ,  allow-query 參數
      2. 預設參數
            a. 只接受來自本機與私有網段的 Recursive Query
            b. 只接受來自本機與私有網段的 DNS 查詢
      3. 本地網域
            接受所有的查詢

      這樣可以防止上述的跳板攻擊

      options {
      directory "/var/named";
      pid-file "/var/run/named.pid";
      allow-recursion {127.0.0.0/8; 10.0.0.0/24; 172.16.0.0/12; 192.168.0.0/16;};
      allow-query {127.0.0.0/8; 10.0.0.0/24; 172.16.0.0/12; 192.168.0.0/16;};
      };

      zone "qa.hgiga.com" {
      type master;
      file "/var/named/qa.hgiga.com.hosts";
      allow-update {127.0.0.1;};
      allow-transfer {127.0.0.1;};
      allow-query { any;};
      };

      備註: 新版的 PS 會預設啟用這兩個選項，但既有的客戶 (包括升級後) 是不受影響。
      如果要啟用，需要手動設定

2013-3-26 11:00


	» 遊客: 註冊 \| 登錄 \| 統計 \| 幫助