[GTER] Flood de requisições DNS quase parando servidor

Paulo Fragoso paulo at nlink.com.br
Wed Sep 19 08:59:28 -03 2012 

Uma sugestão é seguir a filosofia do DJBDNS (D. J. Bernstein) e colocar 
o servidor recursivo separado do seu servidor de zonas.

Se o ataque for ao servidor recursivo, que por segurança deve atender 
somente requisições partindo da sua rede interna, você terá facilidade 
de controle sobre o problema pois será interno à sua rede.

Se o ataque for ao seu servidor de zonas você pode colocar no seu 
firewall (FreeBSD stateless) uma probabilidade de descarte. Ainda 
relacionado ao servidor de zonas você é obrigado a ter 02, um deles pode 
estar fora de sua rede, como fazemos aqui em nossa empresa com 03 
servidores, um fora.

Somente com as modificações acima fica quase impossível de parar o 
serviço de DNS, mas a observação de Rubnes Kuhl é importante, não 
coloque o seu servidor WEB na máquina que faz o seu recusivo atendendo 
as querys de DNS do servidor WEB, um ataque simples ao servidor WEB vai 
amplificar o problema de forma exponencial.

Os ataques à nossa rede iniciaram em 2005 de forma aleatória que foi 
resolvido mudando o servidor de backbone, mas o principal ataque ao 
servidor DNS aconteceu em 2007 quando passamos utilizar esta política, 
de lá para cá temos 100% de uptime no serviço, descartando as paradas de 
rede elétrica, as paradas nos backbones não nos alcançam.

Temos 03 máquinas para servir as zonas, uma fora completamente de nossa 
infraestrutura e 02 máquinas para o recursivo, são máquinas fisicamentes 
separadas, não coloque em máquinas virtuais de um mesmo servidor.

Paulo.

Em 19-09-2012 00:49, Rubens Kuhl escreveu:
> 2012/9/18 Enio Marconcini<eniorm at gmail.com>:
>    
>> Pessoal.
>> Estou tentando resolver um problema aqui que já está além da minha
>> capacidade.
>> Muitas requisições de dns tem chegado no servidor, o que está consumindo
>> muito do link e quase parando o servidor.
>>      
> Como são as requisições ? É bem possível que seja um ataque de DNS
> envolvendo amplificação, e você pode tanto ser o alvo quanto alguém
> para ajudar reflexão.
>
>    
>> O que inicialmente fiz foi ajustar a diretiva allow-query para none, porém
>> o site ficou aparentemente inacessível de fora.
>>      
> Rode views diferentes e coloque allow-query apenas na view com
> autoritativo, sem recursão.
> Ou rode o alternativo em outro lugar (Registro.br, Amazon AWS, CloudFlare).
> Ou rode softwares diferentes para alternativo e recursivo, atendendo
> em IPs diferentes da mesma máquina.
>
>    
>> Por fim estou usando outro servidor DNS para responder pelo dominio da
>> empresa, mas continua o site no mesmo servidor de antes. Acho que não estou
>> conseguindo ajustar a configuração corretamente, pois quando acessa o site,
>> abre um que está hospedado no servidor dns atual, e não o site que está no
>> outro servidor.
>>      
> Você mudou o serial number da zona ?
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list