Ataque DDOS de amplificación de DNS

18

Durante el fin de semana hice algunas pruebas para simular un ataque DDOS de amplificación de DNS. al enviar aproximadamente 90Mb / s de tráfico, pude generar aproximadamente x.x Gb / s de tráfico amplificado que envió a nuestro centro de datos fuera de línea en segundos. Ahora que este tipo de ataque se está volviendo popular todos los días, tengo curiosidad por conocer las mejores prácticas para mitigarlo. ¿Alguien ha tenido experiencia en mitigar el ataque de DOS de amplificación de DNS?

----- Editar posibles soluciones -----

  1. Pida al proveedor que bloquee el tráfico entrante con el puerto de origen 53.

  2. (Sugerido por @rook) Para que individuos grandes como Cloudflare, Akmai o verisign lo manejen por usted, lo que puede costar pero puede ser muy efectivo cuando el proveedor no puede ayudarlo.

  3. (Sugerido por @ user24077) Para implementar la estrategia de Ruteo / Filtrado de Agujeros Negros con Activación Remota, que en mi opinión puede ser eficaz pero arriesgado porque puede perder el ancho de banda completo al intentar proteger un nodo o cliente.

pregunta HEX 01.04.2013 - 19:57
fuente

3 respuestas

25

CERT reconoce esto como una vulnerabilidad en DNS . Tal como están, hay alrededor de 27 millones de servidores DNS mal configurados (¡lea: ¡Predeterminado!) que se pueden usar en este ataque.

Lo ideal es que desees evitar que estos paquetes UDP lleguen a su destino filtrándolos en el enrutador de borde (que es tu proveedor). Lamentablemente no hay muchos proveedores que ofrezcan este servicio. Cloudflare utiliza este método para ayudar a mitigar este ataque.

Otro método es usar Equilibrio de carga basado en IP de GEO . Esta es la magia detrás de muchos CDN en eso, DNS resuelve el servidor más cercano a usted. En un ataque DoS, esto ayuda a distribuir la carga y aísla las interrupciones en una (s) región (es) específica (s). También hay algo de elegancia en el uso de DNS para ayudar a prevenir los ataques de amplificación de DNS.

Finalmente, los servidores utilizados para la amplificación de DNS se configurarán correctamente. Pero es probable que esta solución esté a más de 10 años de llegar a buen término.

Para la mayoría de las personas, usar un servicio como cloudflare o akamai es la mejor solución.

    
respondido por el rook 01.04.2013 - 20:32
fuente
5

En el pasado, he implementado técnicas de enrutamiento / filtrado de orificios negros de activación remota en los enrutadores orientados a Internet de borde. Esta técnica ha demostrado ser efectiva, se puede implementar en función del tráfico de origen o de destino, aquí hay un enlace para que pueda consultar si desea seguir investigando. Fácil de implementar y rentable.

enlace

    
respondido por el user24077 01.04.2013 - 20:52
fuente
0

La lista de pasos de mitigación para la amplificación de DNS tomada directamente del extracto en el artículo Amplificación de DNS y DNSSEC .

  

No coloque resolutores de DNS abiertos en Internet. La limitación de los clientes que pueden acceder al sistema de resolución reduce en gran medida la capacidad de un atacante para usarlo de manera malintencionada. Esto se puede lograr utilizando reglas de firewall, listas de acceso IP del enrutador u otros métodos.

     

Evite la falsificación de direcciones IP mediante la configuración del Reenvío de ruta inversa de unidifusión (URPF) en los enrutadores de red. Un enrutador configurado para usar URPF (definido en RFC3074) limita la capacidad de un atacante para falsificar paquetes al comparar la dirección de origen del paquete con sus tablas de enrutamiento internas para determinar si la dirección es plausible. Si no, el paquete se desecha.

     

Implementar un dispositivo de sistema de prevención de intrusiones (IPS) o monitorear el tráfico DNSSEC de alguna manera. Un gran número de paquetes salientes con la misma dirección de destino, especialmente cuyo conteo aumenta repentinamente, es un buen indicador de un ataque activo. El despliegue de filtros para eliminar, limitar o retrasar los paquetes sospechosos entrantes debería disminuir el impacto del ataque en la red local y el objetivo del ataque. Como se mencionó anteriormente, los servidores DNS de Windows eliminan los paquetes de respuesta no coincidentes y los registran en los contadores de rendimiento y estadísticas. Es importante monitorear regularmente estos contadores.

    
respondido por el Saladin 01.04.2013 - 23:38
fuente

Lea otras preguntas en las etiquetas