banner-laptop102
banner thinkpad

Máy chủ DNS của bạn là một vũ khí?




Như việc chúng ta cải thiện hệ thống phòng thủ chống lại tấn công từ chối dịch vụ (DDoS – Distributed-denial-of-service), những kẻ xấu thích ứng cũng nâng cấp việc tấn công của họ. Và đây là cách sử dụng Domain name server (DNS) của bạn để tránh khỏi tin tặc. Tấn công DDoS nhằm mục đích quá tải CPU hay làm tắc nghẽn mạng bằng những truy cập từ nhiều nguồn. Những kẻ tấn công thường kiểm soát một số lượng lớn máy tính là một phần của botnet và hướng dẫn họ thực hiện các yêu cầu lặp đi lặp lại đến một trang web, nó làm quá tải mạng và khả năng xử lý . Tuy nhiên, các đội an ninh có thể chống lại bằng cách ngăn chặn các kết nối từ các địa chỉ IP botnet để bảo vệ băng thông và bỏ qua các yêu cầu lặp lại đến cùng một URL để bảo vệ khă năng xử lý.

Máy chủ DNS của bạn là một vũ khí?



Kết quả là, để thực hiện thành công tấn công DDos, kẻ tấn công phải khuếch đại ảnh hưởng của các nguồn tài nguyên nằm dưới sự kiểm soát của họ. Một cách có thể thực hiện đó là: Khuyếch đại DNS. Các yêu cầu DNS là một cơ chế lý tưởng mà những kẻ tấn công có thể làm tăng số lượng lưu lượng truyền tải vào nạn nhân của họ, trong khi ẩn nguồn gốc của cuộc tấn công. Nhiều máy chủ DNS trên Internet được cấu hình “phân giải mở” chấp nhận và trả lời các truy vấn DNS từ bất cứ nơi nào trên Internet. Gửi yêu cầu rất nhỏ đến những máy chủ này có thể dẫn đến câu trả lời lớn được chuyển đến hệ thống của nạn nhân .

Ví dụ, truy vấn ngắn để lấy thông tin DNS cho tên miền odsvn.blogspot.vn. Kết quả là một số lượng lớn các thông tin được trả lại :

odsvn.blogspot 11.334 IN NS ns2.ubm – us.net .
odsvn.blogspot.com . 11.334 IN NS ns1.ubm – us.net .
odsvn.blogspot.com . 11.334 IN NS ns3.ubm – us.net .
odsvn.blogspot.com . 11.334 IN SOA ns1.ubm – us.net . dnsadmin.ubm – us.net . 201310100 1800 900 1209600 1800
odsvn.blogspot.com . 11.334 IN A 192.155.48.18
odsvn.blogspot.com . 11.334 IN AAAA 2620:103 :: 192:155:48:18
odsvn.blogspot.com . 11334 IN MX 10 mailhost.ubm – us.net .
odsvn.blogspot.com . 11.334 IN TXT ” v = spf1 mx include: spf.ubm – us.net – all”
odsvn.blogspot.com . 11.334 IN TXT ” google -site-verification= doCdAIQ4FJ3yo – 047WoLHDdjRLjR_A9qHK – PIIlYLmU “
; , Query time: 0 ms
; ; SERVER: 10.30.40.15 # 53 (10.30.40.15)
; ; WHEN : Thu Oct 17 2013 03:31:00
; ; MSG SIZE rcvd : 346

Trong trường hợp này, gửi một gói yêu cầu DNS 45 byte được trả lại gói thông tin DNS 346 byte, làm tăng số lượng dữ liệu quay lại so với kích thước của các yêu cầu theo hệ số 7,7. Nếu yêu cầu gồm các thông tin khác trong bản ghi DNS, chẳng hạn như các khóa mật mã để phù hợp với tiêu chuẩn DKIM hoặc DNSSEC, chúng khuếch đại phản hồi từ máy chủ DNS. Một truy vấn cho bất kỳ thông tin DNS cho tên miền mic.gov.vn đã có 2.877 byte thông tin được trả lại, khuếch đại 71,9 so với yêu cầu.

Truy vấn DNS được gửi như các gói tin UDP, có nghĩa là nguồn gốc của các yêu cầu không được xác nhận cùng một cách như TCP, cho phép nguồn gốc được làm giả. Thành viên của một botnet có thể giả mạo các yêu cầu DNS xuất hiện tới địa chỉ IP của nạn nhân, DNS trả lời sẽ được gửi đến địa chỉ đó chứ không phải là địa chỉ của người khởi tạo yêu cầu. Do đó, một botnet nhỏ có thể gây ra một số lượng lớn các dữ liệu được gửi đến mạng của nạn nhân, một botnet lớn dồn dập có thể là nạn nhân của DDos.

Về bản chất, các cuộc tấn công tương tự như sử dụng nhiều Post-It để yêu cầu toàn bộ các thư mục sẽ được gửi đến một địa chỉ gửi thư, khiến nạn nhân không thể thực hiện các hoạt động thông thường của họ do khối lượng tuyệt đối của thư mục chuyển giao.
Bảo vệ DNS của bạn

Buy cheap Viagra online


Khuếch đại từ chối DNS dựa trên các cuộc tấn công DDos đặc biệt khó khăn để bảo vệ , bởi vì các cuộc tấn công như vậy bao gồm khối lượng lớn các dữ liệu hợp pháp được gửi từ các nguồn hợp pháp. Những cuộc tấn công có thể do số lượng lớn các máy chủ DNS cấu hình để phân giải mở, đáp ứng các yêu cầu DNS mà không quan tâm đến nguồn gốc của yêu cầu.

Open Resolver Project đã xác định được 28 triệu máy chủ DNS gây ra một mối đe dọa đáng kể đang được sử dụng trong cuộc tấn công này . Công ty phải đảm bảo rằng các máy chủ DNS của họ không nằm trong số những người có khả năng đóng góp vào việc tấn công DDos bằng cách thực hiện các bước sau:

  • Hạn chế đệ quy: chỉ cho khách hàng có thẩm quyền, chẳng hạn như mạng lưới đáng tin cậy và máy chủ DNS được biết đến.
  • Xác định và loại bỏ các gói tin với địa chỉ IP giả mạo bằng cách kiểm tra địa chỉ IP nguồn của họ..
  • Hạn chế tỷ lệ đáp ứng của máy chủ DNS để họ không thể làm ngập mạng.
  • Giới hạn kích thước của thông điệp DNS gửi đi để DNS trả lời nghi ngờ lớn bị chặn.
Hơn nữa, kiểm tra tình trạng của các máy chủ DNS của bạn bằng cách quét chúng từ một mạng từ xa với nmap , thay thế x.x.x.x với địa chỉ IP của máy chủ của bạn :

nmap- sU -p 53 – P0 –script “dns-recursion” x.x.x.x

Sử dụng bản dns-recursion trong cài đặt nmap mặc định để gửi các gói tin UDP đến port 53 và báo cáo nếu khả năng thực hiện các truy vấn đệ quy được phát hiện. Câu trả lời có chứa cụm từ: “Recursion appears to be enabled” – Đệ quy xuất hiện đã được kích hoạt – biểu thị rằng một máy chủ có thể có thể bị lạm dụng
Sẵn sàng , chuẩn bị, bảo vệ


Hãy xem xét các hậu quả của cuộc tấn công chống lại hệ thống của bạn ngay bây giờ, và chuẩn bị một chiến lược phòng thủ theo chiều sâu. Phân phối hệ thống công dễ nhận thấy bạn phải đối mặt, chẳng hạn như các trang web trên toàn thế giới thông qua một mạng lưới phân phối nội dung với băng thông đủ để chịu được cuộc tấn công. Làm việc với các nhà cung cấp của bạn để đảm bảo rằng các cuộc tấn công chống lại các mạng lưới của công ty được phát hiện và bị chặn càng xa nguồn càng tốt . Phát hiện lưu lượng truy cập dị thường cũng quan trọng càng sớm càng tốt – các cuộc tấn công có thể được đi trước bởi những truy cập loáng thoáng trong lưu lượng truy cập của kẻ tấn công kiểm tra xem hệ thống của họ đang hoạt động trước khi tung ra một cuộc tấn công đầy đủ. Phát hiện tự động của lưu lượng truy cập bất thường có thể cảnh báo các nhà khai thác phải có hành động và thực hiện một kế hoạch chuẩn bị khắc phục hậu quả.

Kẻ tấn công giỏi khai thác giao thức Internet được thiết kế lành tính. Để bảo vệ chống lại các cuộc tấn công, việc làm tốt nhất của bạn là làm cứng hệ thống của bạn. Và khi cuộc tấn công xảy ra, đảm bảo rằng bạn có thể kêu gọi nhiều nguồn lực và chuyên môn có sẵn cho những kẻ tấn công. BODY>

installment loans займ на карту срочно без отказа