¿Por qué no podemos bloquear el ataque de Amplificación de DNS bloqueando los paquetes UDP o el paquete de respuesta de DNS?

7

Me refiero a que si el atacante intenta pedir a todos los servidores de resolución de DNS abiertos que respondan a un servidor web. El servidor web solo puede bloquear sus puertos UDP. Si todas las respuestas del DNS van a un servidor de nombres autorizado (víctima), solo se puede descartar toda la respuesta del DNS.

¿O es la amplificación de DNS todo sobre el ancho de banda?

    
pregunta user15580 17.05.2013 - 23:21
fuente

6 respuestas

4

Los ataques de Amplificación de DNS son muy fáciles de prevenir mediante filtrando paquetes UDP en el borde enrutadores. Así es como Cloudflare puede frustrar fácilmente un ataque DDoS de más de 300 gb / s.

    
respondido por el rook 17.05.2013 - 23:35
fuente
7

Podemos pero ...

En el momento en que la consulta llega a su servidor, ya es demasiado tarde. Su servidor perderá sus recursos tratando de hacer algo con los paquetes y las solicitudes. Incluso si tiene algo como iptables descarta todas las conexiones, todavía va a utilizar todo el ancho de banda en la entrada del servidor. La redirección de todo el tráfico en otro lugar consume su ancho de banda de salida y propaga la falla de la red entre su servidor y el nuevo destino.

Es un problema de infraestructura de red. No es un problema del servidor (a menos que sea un resolutor recursivo abierto). El tráfico debe ser manejado (matado) más arriba en la tubería. Aquí hay una aviso CERT del 23 de marzo.

  

Lamentablemente, debido al volumen de tráfico abrumador que puede ser   producido por uno de estos ataques, a menudo hay poco que el   víctima puede hacer para contrarrestar una base de amplificación de DNS a gran escala   Ataque distribuido de denegación de servicio. Si bien los únicos medios efectivos   Eliminar este tipo de ataque es eliminar el recursivo abierto.   los resolutores, esto requiere un esfuerzo a gran escala por parte de numerosas partes.

Adicionalmente

  

Verificación de IP de origen: porque las consultas de DNS que envían los clientes controlados por el atacante deben tener una dirección de origen falsificada para   aparecer como el sistema de la víctima, el primer paso para reducir la   La efectividad de la amplificación de DNS es para los proveedores de servicios de Internet.   para denegar cualquier tráfico DNS con direcciones falsificadas.

    
respondido por el AbsoluteƵERØ 18.05.2013 - 00:30
fuente
4

El problema es que debe eliminar el tráfico antes de que llegue a su red. Así que incluso cuando la eliminación de paquetes en su servidor es demasiado tarde. La mejor manera de reducir el riesgo es usar servicios de limpieza de paquetes como Akamai o Cloudfare, que cuentan con técnicas de mitigación DDoS para evitar que este tráfico llegue a su red.

    
respondido por el Lucas Kauffman 18.05.2013 - 06:55
fuente
3

El bloqueo del tráfico en el servidor no impedirá que la DDoS eventualmente sature su enlace ascendente y posiblemente otros enlaces dentro de la red. Los ataques de amplificación de DNS consisten en generar grandes cantidades de ancho de banda.

    
respondido por el Teun Vink 17.05.2013 - 23:23
fuente
1

El enlace ascendente seguirá saturado.

La única forma de mitigar esto es activar RRL en los servidores y obtener soluciones de resolución abiertas. Y para los solucionadores abiertos legítimos, pídales que envíen paquetes UDP lo más pequeños posible con el conjunto de bits TC ("vuelva a intentarlo usando TCP") para que la amplificación no ocurra y no interrumpa el tráfico legítimo.

Otras técnicas de mitigación para los solucionadores incluyen imponer un TTL mínimo (que también ayuda contra el envenenamiento) y un tamaño de carga útil máximo razonable para las respuestas enviadas utilizando UDP. El DNS de Google está utilizando un límite de 512 bytes por este motivo.

    
respondido por el Frank Denis 20.05.2013 - 23:00
fuente
0

Desactivar las respuestas de recursión en servidores DNS públicos a direcciones IP de Internet aleatorias, es decir, cerrar el orificio de "resolución abierta", NO mitiga esto porque todavía puede realizar un ataque de amplificación / reflector de DNS falsificado simplemente enviando consultas que den como resultado un "puede" "No le daré una respuesta", que aún puede ser mucho más grande que la consulta entrante.

Realmente necesito usar alguna combinación de limitación de la tasa de respuesta o medidas anteriores como se menciona aquí anteriormente. Técnicamente, podría usar el filtrado de egreso para bloquear los paquetes salientes que se originaron en un enlace / interfaz diferente a la ruta al destino falso, pero en redes simples (es decir, con un solo enlace de Internet) no es posible.

Aquí hay un documento técnico antiguo que analiza algunas otras medidas de mitigación, como el uso de conteos de paquetes para adivinar la legitimidad de un paquete entrante:

enlace

Pero, por supuesto, el filtrado y las respuestas que limitan la velocidad en el "punto de reflexión" todavía no mitigan la gran corriente de paquetes entrantes que se dirige a su servidor DNS. Evita que el servidor DNS no retenga el destino deseado y que su servidor DNS se atasque con tráfico no deseado.

    
respondido por el Phil Koenig 23.12.2014 - 14:57
fuente

Lea otras preguntas en las etiquetas