Este artículo destaca cómo se utilizan los resolutores de DNS abiertos para crear ataques DDOS a través de Internet. ¿Cómo puedo identificar si alguno de nuestros servidores DNS está abierto? Si encuentro que estamos ejecutando servidores de DNS abiertos, ¿cómo los cerraría para evitar que sean objeto de abuso en los ataques DDOS?
x.x.x.x = IP del servidor DNS
nmap -sU -p 53 -sV -P0 --script "dns-recursion" x.x.x.x
La salida posible sería:
VERSIÓN DE SERVICIO DEL ESTADO DEL PUERTO
53 / udp dominio abierto ISC BIND "versión"
* | _dns-recursion: la recursión parece estar habilitada *
Si prefiere hacer uso de los servicios en línea, el proyecto Openresolver es muy bueno, también verifica subredes de / 22 de ancho, así que échele un vistazo --- > enlace
Después de un descubrimiento de Open DNS server con herramientas en línea es una buena idea hacer una doble verificación para obtener una prueba de recursión --- > enlace
Ejemplo de salida, vea la marca "ra" significa recursión disponible:
; < < > > DiG 9.7.3 < < > > @ x.x.x.x domain.cn A
; (1 servidor encontrado)
;; opciones globales: + cmd
;; Tengo respuesta:
;; - > > HEADER < < - código de operación: QUERY, estado: NOERROR, id: xxx
;; banderas: qr rd ra; PREGUNTA: 1, RESPUESTA: 1, AUTORIDAD: 5, ADICIONAL: 0
DESHABILITAR LA RECURSIÓN
( source knowledgelayer softlayer com )
Deshabilitar la recursión en Windows Server 2003 y 2008
Access the DNS Manager from the Start menu:
Click the Start button.
Select Administrative Tools.
Select DNS.
Right click on the desired DNS Server in the Console Tree.
Select the Proprerties tab.
Click the Advanced button in the Server Options section.
Select the Disable Recursion checkbox.
Click the OK button.
Deshabilitar la recursión en Linux
Locate the BIND configuration file within the operating system. The BIND configuration file is usually located in one of the following paths:
/etc/bind/named.conf
/etc/named.conf
Open the named.conf file in your preferred editor.
Add the following details to the Options section:
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
Restart the device.
Un servidor DNS abierto es uno que responde a las solicitudes de DNS de cualquier persona. Como regla general, los servidores DNS que ejecute solo deben responder a las solicitudes que desee.
En una organización típica, por ejemplo, usted quiere que las máquinas dentro de su red, como su computadora portátil puedan resolver cualquier cosa, y las máquinas fuera de su red solo puedan resolver sus servicios públicos, como su servidor web y el correo entrante. Por supuesto, su organización puede no ser típica.
Para identificar si sus servidores DNS están respondiendo a solicitudes que no desea que realicen, ¡haga esas solicitudes y vea qué sucede! Usando una máquina fuera de su red, apunte una copia de la excavación a sus resolutores e intente consultar cosas.
Para proteger sus servidores DNS, consulte la documentación de su marca particular de servidor DNS y configúrelos para hacer lo que quiera.
Hay algunos sitios por ahí que escanean Internet en busca de solucionadores de DNS abiertos y publican listas de ellos para ayudar a los ISP a detectar y cerrar los resolutores. Aquí hay uno, puede usarlo para buscar ip's dentro de su red que tengan resoluciones abiertas:
En cuanto a protegerlos, es bastante simple: solo restrinja los resolutores dns para que solo permitan consultas desde su red. Configure el DNS para que solo responda las consultas de las direcciones que están dentro de su red, o use las reglas de filtro de paquetes / cortafuegos para restringir el acceso al puerto 53.
El Equipo Cymru tiene una guía aquí: enlace
¡Solo asegúrate de no filtrar tus servidores de nombres autorizados, Internet necesita llegar a esos para que tus dominios funcionen!