{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>{html} |
Rechner, die offene Resolver (open recursor) sind und für DNS Amplifizierung (amplification) missbraucht werden um ein fremdes Ziel zu attackieren.
Offene Resolver sind meistens auf mangelnde Konfiguration zurückzuführen. Missbraucht wird die DNS Amplifizierung und die Möglichkeit von UDP spoofing. Der DNS Resolver kann an Hand von der UDP-DNS-Anfrage nicht erkennen ob es sich um eine eine gespoofte IP Adresse handelt und schickt eine große DNS-Antwort an das zu attackierende Ziel.
Nur die eigenen Netze resolven lassen und Monitoring des Resolvers.
acl ournetacl ournets { 131.130/16; 2001:62a::/31; };
options {
allow-recursion { ournets; };
}; |
server:
access-control: 131.130.0.0/16 allow
access-control: 2001:62a::/31 allow |
Bei dnsmasq kennt das Konzept von ACLs nicht. Hier empfiehlt es sich, den Prozess nur auf localhost zu binden.
listen-address=127.0.0.1 |
Bei Microsoft DNS Server kann weder ACLs noch kann das Resolven abgestellt werden. Hier empfiehlt es sich, das Service mit einer Firewall von außen abzuschotten.
Konfiguration Bind, NSD und Knot DNS mit Response Rate Limiting (RRL)
Umsetztung von BCP38
https://www.us-cert.gov/ncas/alerts/TA13-088A
https://www.team-cymru.org/Services/Resolvers/instructions.html
http://technet.microsoft.com/en-us/library/cc787602.aspx
http://technet.microsoft.com/en-us/library/cc754941.aspx
http://www.redbarn.org/dns/ratelimits
http://tools.ietf.org/html/bcp38