[GTER] Flood de requisições DNS quase parando servidor

Ricardo Rodrigues rcr.listas at ig.com.br
Wed Sep 19 13:38:53 -03 2012 

Não sei a opinião dos demais, mas tenho pra mim que DNS é um dos pontos
mais frágeis/sensíveis da "Arquitetura Internet" (se não for O mais
frágil). Além disso, muito do "senso comum" não se aplica para DNS. E se
fizer uma mudança errada, pode demorar um bom tempo até que a correção
tenha efeito por causa do cache DNS.

Algumas das melhores práticas:
- Separe as funções DNS Autoritativo e Recursivo (endereços IP diferentes),
preferencialmente em servidores diferentes.
- Configure o recursivo para aceitar consultas apenas de seus clientes
- Mantenha o software DNS atualizado contra vulnerabilidades.
- Software DNS de qualidade não requer firewall stateful ou IPS para
proteção. Em caso de ataques DDoS/DoS, estes elementos vão cair antes do
DNS. Verifique se seu software DNS requer proteção com FW e IPS .
- O servidor DNS recebe consultas via UDP E TCP. É comum administradores
bloquearem consultas via TCP mas não é o correto.
- No caso de autoritativos, tenha um hidden master com alta
disponibilidade. Se ele não tiver alta disponibilidade, você não poderá
fazer aprovisionamento em caso de falha.

Disclaimer: Esta mensagem expressa minha opinião pessoal e é independente
do vendor DNS onde trabalho.

Abs,
Ricardo

Em 19 de setembro de 2012 11:16, Patrick Tracanelli <
eksffa at freebsdbrasil.com.br> escreveu:

>
> Em 18/09/2012, às 20:45, Nelson Brito escreveu:
>
> > Uma pequena pergunta: estas requisições são UDP ou TCP?
> >
> > Nelson Brito
> > "Quemadmodum gladius neminem occidit, occidentis telum est."
> > --
> > Sent on an  iPad wireless device. Please, forgive any potential
> misspellings!
> >
> > On Sep 18, 2012, at 4:22 PM, Enio Marconcini <eniorm at gmail.com> wrote:
> >
> >> Pessoal.
> >> Estou tentando resolver um problema aqui que já está além da minha
> >> capacidade.
> >> Muitas requisições de dns tem chegado no servidor, o que está consumindo
> >> muito do link e quase parando o servidor.
> >>
> >> O que inicialmente fiz foi ajustar a diretiva allow-query para none,
> porém
> >> o site ficou aparentemente inacessível de fora.
> >>
> >> Por fim estou usando outro servidor DNS para responder pelo dominio da
> >> empresa, mas continua o site no mesmo servidor de antes. Acho que não
> estou
> >> conseguindo ajustar a configuração corretamente, pois quando acessa o
> site,
> >> abre um que está hospedado no servidor dns atual, e não o site que está
> no
> >> outro servidor.
> >>
> >> Mesmo assim, como faço para resolver essa enxurrada de requisições de
> DNS,
> >> são muitas, e de diversos ips externos.
> >>
> >> abraços
>
>
> Bem-vindo ao grupo, eu também tive problema de DoS e especialmente consumo
> exagerado de banda via DNS no início dessa semana. Só que no meu caso era
> DNSSEC amplification attack. Por hora consegui mitigar fazer controle com
> ipfw pipe e mask src-ip para endereços únicos e prefixos /24 eu mencionei
> sobre isso na FUG:
>
> http://www.fug.com.br/historico/html/freebsd/2012-09/msg00286.html
>
> A primeira coisa que eu tentaria é exatamente isso se for realmente
> autêntico o que está chegando em você. Antes de mais nada, voce tem DNSSEC?
>
> Mas antes de tentar impor algum controle que pode acabar gerando outro DoS
> ainda que "específico" para um prefixo ou cliente único, confira:
>
> - Veja se é DNSSEC (alvo ou meio);
> - Ligue o querylog e veja se todas as consultas são logadas, se não forem
> pode ser pacote mal formado, ai pode da pra pegar via firewall;
> - Aproveito o querylog e veja se não tem um pattern previsível de redes ou
> IPs gerando a sobrecarga;
> - Veja com tcpdump se a característica dos pacotes são as mesmas de
> pacotes autênticos (faça você mesmo testes autenticos ou de seus clientes e
> compare o padrão dos pacotes);
> - Garanta que é consulta de autoridade, e não algum allow-recursion
> misconfigured abrindo acesso a terceiros;
> - Veja também se é mesmo autoridade, ou seja se são seus domínios sendo
> solicitados, pode ser que (dependendo do seu software de DNS) tenha gente
> querendo fuçar no seu cache mesmo sem ter recurssão;
>
> Enfim tente encontrar um padrão pro problema e tentar conte-lo com algum
> instrumento mais leve, conf do dns ou firewall stateles.
>
> Se não der ai tente algo parecido com o que eu fiz.
>
> Senão, é aquele negócio, segurança da informação basics... o risco você
> corrige, mitiga, aceita, ou... TRANSFERE hehehe então pode jogar pro DNS do
> registro.br ;-) ou outro na nuvem; especialmente porque dependendo do DoS
> nem todos nós temos recursos pra "suportar" se não for possível conter;
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 at sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list