Bloqueo del tráfico entrante desde el puerto privilegiado (1024) para mitigar los ataques de amplificación DDos DNS

4

Espero que alguien pueda aclarar.

Según entiendo, en un DNS DDos Amplification ataques

  1. Se envían varias consultas de DNS a un servidor de nombres vulnerables con la IP de origen falsificada a la del servidor de destino.
  2. El servidor de nombres devuelve la respuesta (con el puerto de origen UDP 53) al servidor de destino.
  3. Al servidor de destino, el servidor de nombres ha originado una conexión con el puerto de origen UDP 53

Para el servidor de seguridad del servidor de destino, ¿tiene sentido bloquear todo el tráfico de origen con el puerto de origen 53? De hecho, ¿podemos bloquear el tráfico entrante que tiene un puerto de origen por debajo de 1024?

    
pregunta MikeLim 09.04.2014 - 07:05
fuente

2 respuestas

1

Sí !

Si su servidor es un servidor recursivo, bloquee TODAS las consultas de fuentes desconocidas / no confiables, independientemente del puerto de origen. También debe bloquear las consultas, incluso de fuentes confiables, con un puerto de origen de 53.

Si su servidor es un servidor autorizado, sí, aún debe bloquear las consultas con un puerto de origen de 53.

De hecho, debe bloquear las consultas con cualquier puerto de origen con privilegios, e incluso con algunos puertos de origen sin privilegios. Por ejemplo, 5060 (SIP) también es un buen puerto de origen para bloquear.

He aquí el motivo:

Su servidor enviará su respuesta a la IP y al puerto de origen. Debido a la naturaleza de UDP, ambos pueden ser falsificados.

En un ataque DDoS en el servidor de nombres de un tercero, el atacante puede falsificar la IP de la víctima y el puerto del servicio (DNS) de la víctima (UDP 53) y enviar una consulta a su servidor. Tu servidor enviará la respuesta (mucho más grande) al servidor víctima y, sin saberlo, se convertirá en un arma en el ataque DDoS en sí.

La gran mayoría de los servidores de nombres envían consultas desde un puerto de origen no privilegiado al azar. El simple hecho de que una consulta signifique que proviene de UDP 53 es en sí mismo un indicador claro de que es malicioso.

El bloqueo de esta manera no hará mucho para proteger a su servidor de ser víctima de una DDoS, pero ayudará a proteger su servidor para que no se use para realizar una DDoS

    
respondido por el Joe Sniderman 21.04.2014 - 00:05
fuente
0

El bloqueo de todo el tráfico de origen con el puerto de origen 53 no resolverá su problema.

El ataque de Amplificación de DNS es una especie de ataque DDOS volumático, no importa lo bueno que su firewall pueda bloquear / manejar el mal tráfico, su canalización seguirá siendo explotada.

Desea bloquear el tráfico de falsificación de DNS lo más cerca posible del borde de Internet.

  1. Intente ponerse en contacto con el ISP para obtener ayuda para rechazar cualquier tráfico DNS con direcciones falsificadas
  2. Implemente el enrutamiento de agujero negro en el enrutador de borde de Internet si su enrutador puede manejarlo

Si el suyo es un servidor web, intente suscribirse a servicios como CloudFlare , deberían poder manejar una protección DDoS de gran volumen.

    
respondido por el hoa 09.04.2014 - 13:19
fuente

Lea otras preguntas en las etiquetas