IPFW a zakaz DNS dotazu typu ANY
Ivo Hazmuk
ivo at vutbr.cz
Thu Sep 13 20:59:10 CEST 2012
Ahoj,
urcite jste zaregistrovali, ze zhruba od poloviny cervna probiha utok
proti DNS, kdy na autoritativni jmenne servery prichazi obrovska kvanta
dotazu typy ANY s podvrzenymi zdrojovymi IP adresami. Dobrymi cili jsou
zony s DNSSECem ci TXT RR. Vysledkem je zesilena odpoved.
Zkousel jsem radu reseni, ale ani jedno neni uplne idealni.
1) Blokovani veskereho DNS provozu ze zdrojovych IP adres, ale ty jsou
podvrzene
2) Bind 9.9.1-P2 s RRL zaplatou - to trochu pomuze, ale hodi se spis na
jine situace.
3) Omezit pasmo pro DNS - to byl muj prvni, zoufaly pokus. Nepouzitelne.
S kolegy vidime zasadni problem v dotazu ANY. Pokud by se podarilo tento
typ dotazu zakazat, neodpovidat na nej, bude tento utok neuciny.
Najit v Bindu misto, kde by se tento dotaz filtroval neni jednoduche. A
opravovat to s kazdou novou verzi je nepouzitelne.
Co tak pouzit firewall. V IPTABLES to mozne je:
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
-m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Vice na URL: https://isc.sans.edu/diary.html?storyid=13261
Mate nejaky napad, jak to udelat ve FreeBSD 8. V IPFW jsem nenasel nic, co
by podobnou konstrukci umoznilo.
Diky
Ivo Hazmuk
More information about the Users-l
mailing list