Network: May 2013 Archives

Response Rate Limiting in the Domain Name System (DNS RRL)
BIND9 RRL and RPZ Patches
這個 Response Rate Limiting 還沒有正式進官方版本, 需 Patch, 只支援 BIND9
wget ftp://ftp.isc.org/isc/bind9/9.9.2-P2/bind-9.9.2-P2.tar.gz
tar zxf bind-9.9.2-P2.tar.gz
cd bind-9.9.2-P2
wget http://ss.vix.su/~vjs/rpz2+rl-9.9.2-P2.patch
patch -p0 -i rpz2+rl-9.9.2-P2.patch
./configure
make install
named -v 應該要看到 BIND 9.9.2-rpz2+rl.131.14-P2
重啟 named, 若看到 unknown option 'rate-limit' 表示 Patch 可能沒成功, 或者執行到舊的 named

rate-limit 參數說明
若要設例外 IP 區段, 可以用 exempt-clients 參數, 不受 rate-limit 限制
DNS Response Rate Limiting (DNS RRL) Draft1

若您的 DNS Server 只管自家 Domain, 沒有提供服務, 最好把 recursion 查詢關閉
allow-recursion {"none";};
recursion no;

若您的 DNS Server 有提供服務, recursion 也不要全開, 只開必要網段,
訂一個 acl "mynetwork", 把開放 recursion 查詢的網段加入
allow-recursion { mynetwork; };

以上做完, DNS Server 就有基本防護 DNS Amplification Attack 的能力
若 Query rate 超出設定值, 會被擋下, Client 端會出現以下的錯誤
;; Truncated, retrying in TCP mode.
;; connection timed out; no servers could be reached

Server 端的 dns-queries.log 會有 drop NODATA response 的訊息

2014-01-28 Update:
9.9.4 Patch 加入 --enable-rrl 參數, 需 ./configure --enable-rrl 才會啟動 rate-limit 功能
wget ftp://ftp.isc.org/isc/bind9/9.9.4/bind-9.9.4.tar.gz
tar zxf bind-9.9.4.tar.gz
cd bind-9.9.4
wget http://ss.vix.su/~vjs/rpz2+rl-9.9.4.patch
patch -p0 -i rpz2+rl-9.9.4.patch
./configure --enable-rrl
make install

2014-05-02 Update:
9.9.5 Patch
wget ftp://ftp.isc.org/isc/bind9/9.9.5/bind-9.9.5.tar.gz
tar zxf bind-9.9.5.tar.gz
cd bind-9.9.5
wget http://ss.vix.su/~vjs/rpz2+rl-9.9.5.patch
patch -p0 -i rpz2+rl-9.9.5.patch
./configure --enable-rrl
make install

2014-10-15 Update:
BIND 9.10 以後的版本已經支援 RRL (Response Rate Limiting), 不用 Patch 了!

DNS Amplification Attack

user-pic
Vote 0 Votes

大概一年前我就發現這種 DNS 攻擊行為, 參考 DNS Abuse Attack ?
現在大家叫 DNS Amplification Attack (DNS放大攻擊) 或 DNS Reflection Attack (DNS反射攻擊)
2013年三月時 SpamHaus 遭受大規模 DDoS 攻擊, 就是用這種方法.

為什麼叫放大攻擊?
舉兩個例子:
dig any isc.org
;; MSG SIZE rcvd: 3054
查詢封包大小 67, 回應訊息 Size 3054, 是查詢封包的 46 倍
dig any ripe.net
;; MSG SIZE rcvd: 2498
查詢封包大小 82, 回應訊息 Size 3054, 是查詢封包的 30 倍

攻擊者只要假造攻擊目標的IP, 送 query 封包給 DNS, 攻擊者只要少量的頻寬, DNS就會回應放大數十倍的封包給攻擊目標,
量大到某程度就足以癱瘓攻擊目標
這種模式是利用很多台 DNS 去攻擊目標
借一張 nirlog.com 的圖, 該篇文章說明很詳細, 可參考看看.

另外一種 DNS Amplification Attack 是針對 DNS Server, 攻擊者先要控制一些電腦, 植入 DNS forwarding 的程式,
組成 Botnet, 攻擊者或許沒有目標 DNS Server 的 recursive query 權限, 但是 Botnet 那些電腦有,
攻擊者只要把 DNS Query 指令送給 Botnet, Botnet 就會轉送給目標 DNS Server,
目標 DNS Server 就忙於回應這些 Query, 耗用大量的資源與頻寬, 最後就無法正常服務
這種模式是利用 Botnet (很多台電腦組成的殭屍網路) 去攻擊 DNS Server

About this Archive

This page is an archive of entries in the Network category from May 2013.

Network: April 2013 is the previous archive.

Network: June 2013 is the next archive.

Find recent content on the main index or look in the archives to find all content.

Monthly Archives