[vpsFree.cz: community-list] Doporucene nastaveni: Ochrana DNS pred zneuzitim k amplification utoku

Pavel Snajdr snajpa at snajpa.net
Wed Jul 18 15:40:44 CEST 2012 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Ahojte vespolek,

lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
jsou pak pouzivany k DDoS utokum.

Popis, co je DNS amplification attack, najdete tady:

http://www.isotf.org/news/DNS-Amplification-Attacks.pdf

V cestine je o nem zminka napriklad tady:

http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-typy/
(ke konci clanku)

** Co s tim **

V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.

Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
beznemu prekladani pro klienty.

Autoritativni servery nechame stranou, tam se nejde branit v podstate
jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
pouzivaji rekurzivni DNS servery.

Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
dovolite rekurzivni dotazovani.

Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
to jenom silne doporuceni.

Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
tak k mensi spotrebe antidepresiv :)

Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:

Obsah /etc/bind/named.conf.options :

acl "allowrecursion" {
        ::1/128;                // Internal network
        127.0.0.0/8;            // Internal network
        172.16.0.0/12;          // Internal network
        77.93.223.0/24;         // vpsFree.cz Master Internet Praha
        83.167.228.0/25;        // vpsFree.cz Master Internet Praha
        77.93.197.0/24;         // vpsFree.cz Master Internet Praha -
legacy
        2a01:430:17::/48;       // vpsFree.cz Master Internet Praha
        37.205.8.0/21;          // Relbit RIPE allocation
        2a00:cb40::/32;         // Relbit RIPE allocation
};

options {
        directory "/var/cache/bind";

        auth-nxdomain no;
        listen-on-v6 { any; };
        allow-query { "allowrecursion"; };
};


- -- 
S pozdravem

Pavel Snajdr

+421 948 816 186  | +420 720 107 791          | 110-010-956
CTO of Relbit     | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz         | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAlAGvNkACgkQdh+64ds5DabXbwD8Cn0IubTZZqzOSCL/GM3XZK7S
NTDsEvSXrR5g6Ye4FRoA/0olLwvQANp4o6OrZCEwKCaAkN6Irs6jahgG5WJbBgjL
=6pWs
-----END PGP SIGNATURE-----

More information about the Community-list mailing list