-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-t... (ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" { ::1/128; // Internal network 127.0.0.0/8; // Internal network 172.16.0.0/12; // Internal network 77.93.223.0/24; // vpsFree.cz Master Internet Praha 83.167.228.0/25; // vpsFree.cz Master Internet Praha 77.93.197.0/24; // vpsFree.cz Master Internet Praha - legacy 2a01:430:17::/48; // vpsFree.cz Master Internet Praha 37.205.8.0/21; // Relbit RIPE allocation 2a00:cb40::/32; // Relbit RIPE allocation };
options { directory "/var/cache/bind";
auth-nxdomain no; listen-on-v6 { any; }; allow-query { "allowrecursion"; }; };
- -- S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
Zdravím, Psal jsem to už včera na MUCu - trochu jsem si to urovnal v hlavě a vyšlo z toho něco trošku rozsáhlejšího - takže to hodím sem. Omezovat otevřené DNS resolvery je naprostá hovadina. Proč? * Je to naprosto nesystémové řešení: problém je v první řadě v tom, že si útočník může spoofovat adresy jak chce a ISP je to ukradené. * Tenhle problém se zdaleka netýká rekurzivních serverů. Dřív nebo později někdo začne využívat i autoritativní servery - holt útočník bude v databázi krom IP adres serverů i na co se ptát - nějaký hezký SSHFP nebo TXT záznam. A chudáci co provozují DNSSEC. Pak vypneme DNS úplně? * Veřejně dostupné rekurzivní resolvery provozuje např. Google, OpenDNS, Symantec a *nikomu* to nevadí.
P.S.: Fakt by mě zajímalo o co Masteru jde - jestli je to technické nebo manažerské (tisková zpráva typu "máme síť kterou nikdo k DDoS nepoužívá") rozhodnutí. Je fajn, že chtějí nějaké řešení, ale v tomhle případě IMHO brečí na špatném hrobě.
Mrkva On 18.7.2012 15:40, Pavel Snajdr wrote:
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-t... (ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" { ::1/128; // Internal network 127.0.0.0/8; // Internal network 172.16.0.0/12; // Internal network 77.93.223.0/24; // vpsFree.cz Master Internet Praha 83.167.228.0/25; // vpsFree.cz Master Internet Praha 77.93.197.0/24; // vpsFree.cz Master Internet Praha - legacy 2a01:430:17::/48; // vpsFree.cz Master Internet Praha 37.205.8.0/21; // Relbit RIPE allocation 2a00:cb40::/32; // Relbit RIPE allocation };
options { directory "/var/cache/bind";
auth-nxdomain no; listen-on-v6 { any; }; allow-query { "allowrecursion"; };};
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahojte,
dnes vysiel clanok na rootovi ako si zabezpecit DNS (http://www.root.cz/clanky/zabezpecte-svuj-dns-server/) - vyzera to, ze to funguje dobre a bez problemov. Kto mate cas, tak to prosim tiez vyskusajte a poslite pripadne ako dany postup zlepsit.
Dik
2012/7/18 Radek Pilar mrkva@mrkva.eu:
Zdravím, Psal jsem to už včera na MUCu - trochu jsem si to urovnal v hlavě a vyšlo z toho něco trošku rozsáhlejšího - takže to hodím sem. Omezovat otevřené DNS resolvery je naprostá hovadina. Proč?
- Je to naprosto nesystémové řešení: problém je v první řadě v tom, že
si útočník může spoofovat adresy jak chce a ISP je to ukradené.
- Tenhle problém se zdaleka netýká rekurzivních serverů. Dřív nebo
později někdo začne využívat i autoritativní servery - holt útočník bude v databázi krom IP adres serverů i na co se ptát - nějaký hezký SSHFP nebo TXT záznam. A chudáci co provozují DNSSEC. Pak vypneme DNS úplně?
- Veřejně dostupné rekurzivní resolvery provozuje např. Google, OpenDNS,
Symantec a *nikomu* to nevadí.
P.S.: Fakt by mě zajímalo o co Masteru jde - jestli je to technické nebo manažerské (tisková zpráva typu "máme síť kterou nikdo k DDoS nepoužívá") rozhodnutí. Je fajn, že chtějí nějaké řešení, ale v tomhle případě IMHO brečí na špatném hrobě.
Mrkva On 18.7.2012 15:40, Pavel Snajdr wrote:
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-t... (ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" { ::1/128; // Internal network 127.0.0.0/8; // Internal network 172.16.0.0/12; // Internal network 77.93.223.0/24; // vpsFree.cz Master Internet Praha 83.167.228.0/25; // vpsFree.cz Master Internet Praha 77.93.197.0/24; // vpsFree.cz Master Internet Praha - legacy 2a01:430:17::/48; // vpsFree.cz Master Internet Praha 37.205.8.0/21; // Relbit RIPE allocation 2a00:cb40::/32; // Relbit RIPE allocation };
options { directory "/var/cache/bind";
auth-nxdomain no; listen-on-v6 { any; }; allow-query { "allowrecursion"; };};
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Pavel Snajdr -
Radek Pilar -
Tomas Srnka