IPFW a zakaz DNS dotazu typu ANY

Ivo Hazmuk ivo at vutbr.cz
Thu Sep 13 20:59:10 CEST 2012


Ahoj,

urcite jste zaregistrovali, ze zhruba od poloviny cervna probiha utok 
proti DNS, kdy na autoritativni jmenne servery prichazi obrovska kvanta 
dotazu typy ANY s podvrzenymi zdrojovymi IP adresami. Dobrymi cili jsou 
zony s DNSSECem ci TXT RR. Vysledkem je zesilena odpoved.

Zkousel jsem radu reseni, ale ani jedno neni uplne idealni. 
1) Blokovani veskereho DNS provozu ze zdrojovych IP adres, ale ty jsou 
podvrzene
2) Bind 9.9.1-P2 s RRL zaplatou - to trochu pomuze, ale hodi se spis na 
jine situace.
3) Omezit pasmo pro DNS - to byl muj prvni, zoufaly pokus. Nepouzitelne.

S kolegy vidime zasadni problem v dotazu ANY. Pokud by se podarilo tento 
typ dotazu zakazat, neodpovidat na nej, bude tento utok neuciny.

Najit v Bindu misto, kde by se tento dotaz filtroval neni jednoduche. A 
opravovat to s kazdou novou verzi je nepouzitelne.

Co tak pouzit firewall. V IPTABLES to mozne je:
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
-m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Vice na URL: https://isc.sans.edu/diary.html?storyid=13261

Mate nejaky napad, jak to udelat ve FreeBSD 8. V IPFW jsem nenasel nic, co 
by podobnou konstrukci umoznilo.

 	Diky
 		Ivo Hazmuk


More information about the Users-l mailing list