[GTER] Flood de requisições DNS quase parando servidor

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Wed Sep 19 11:16:46 -03 2012


Em 18/09/2012, às 20:45, Nelson Brito escreveu:

> Uma pequena pergunta: estas requisições são UDP ou TCP?
> 
> Nelson Brito
> "Quemadmodum gladius neminem occidit, occidentis telum est."
> --
> Sent on an  iPad wireless device. Please, forgive any potential misspellings!
> 
> On Sep 18, 2012, at 4:22 PM, Enio Marconcini <eniorm at gmail.com> wrote:
> 
>> Pessoal.
>> Estou tentando resolver um problema aqui que já está além da minha
>> capacidade.
>> Muitas requisições de dns tem chegado no servidor, o que está consumindo
>> muito do link e quase parando o servidor.
>> 
>> O que inicialmente fiz foi ajustar a diretiva allow-query para none, porém
>> o site ficou aparentemente inacessível de fora.
>> 
>> Por fim estou usando outro servidor DNS para responder pelo dominio da
>> empresa, mas continua o site no mesmo servidor de antes. Acho que não estou
>> conseguindo ajustar a configuração corretamente, pois quando acessa o site,
>> abre um que está hospedado no servidor dns atual, e não o site que está no
>> outro servidor.
>> 
>> Mesmo assim, como faço para resolver essa enxurrada de requisições de DNS,
>> são muitas, e de diversos ips externos.
>> 
>> abraços


Bem-vindo ao grupo, eu também tive problema de DoS e especialmente consumo exagerado de banda via DNS no início dessa semana. Só que no meu caso era DNSSEC amplification attack. Por hora consegui mitigar fazer controle com ipfw pipe e mask src-ip para endereços únicos e prefixos /24 eu mencionei sobre isso na FUG:

http://www.fug.com.br/historico/html/freebsd/2012-09/msg00286.html

A primeira coisa que eu tentaria é exatamente isso se for realmente autêntico o que está chegando em você. Antes de mais nada, voce tem DNSSEC?

Mas antes de tentar impor algum controle que pode acabar gerando outro DoS ainda que "específico" para um prefixo ou cliente único, confira:

- Veja se é DNSSEC (alvo ou meio);
- Ligue o querylog e veja se todas as consultas são logadas, se não forem pode ser pacote mal formado, ai pode da pra pegar via firewall;
- Aproveito o querylog e veja se não tem um pattern previsível de redes ou IPs gerando a sobrecarga;
- Veja com tcpdump se a característica dos pacotes são as mesmas de pacotes autênticos (faça você mesmo testes autenticos ou de seus clientes e compare o padrão dos pacotes);
- Garanta que é consulta de autoridade, e não algum allow-recursion misconfigured abrindo acesso a terceiros;
- Veja também se é mesmo autoridade, ou seja se são seus domínios sendo solicitados, pode ser que (dependendo do seu software de DNS) tenha gente querendo fuçar no seu cache mesmo sem ter recurssão;

Enfim tente encontrar um padrão pro problema e tentar conte-lo com algum instrumento mais leve, conf do dns ou firewall stateles.

Se não der ai tente algo parecido com o que eu fiz.

Senão, é aquele negócio, segurança da informação basics... o risco você corrige, mitiga, aceita, ou... TRANSFERE hehehe então pode jogar pro DNS do registro.br ;-) ou outro na nuvem; especialmente porque dependendo do DoS nem todos nós temos recursos pra "suportar" se não for possível conter;

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"




More information about the gter mailing list