Como o DNS é um protocolo extremamente importante sobre o qual a Internet é baseada, sua disponibilidade é de extrema importância. Para negar a disponibilidade, um invasor mal-intencionado envia solicitações para abrir DNS resolvedores que permitem recursão falsificada. Há milhões de DNS resolvedores abertos na Internet.
O resolvedor DNS aberto processa essas solicitações como válido e, em seguida, retorna o DNS respondendo ao destinatário falsificado (isto é, a vítima). Quando o número de pedidos é grande, os resolvedores poderiam gerar um grande fluxo das respostas DNS. Isto é conhecido como um ataque de amplificação porque este método aproveita resolvedores DNS mal configurados para ligar uma consulta DNS pequena em uma carga muito maior dirigida ao alvo. Em outros tipos de ataques, as consultas não solicitadas ou anômalas podem ser enviadas para os servidores DNS.
Aqui estão 10 maneiras simples através do qual o FortiDDoS diminui inundações DNS para proteger sua infraestrutura de DNS:
Não permita respostas DNS não solicitadas:
- A troca de mensagens de DNS típica consiste em uma mensagem de pedido a partir de um resolvedor para um servidor, seguida por uma mensagem de resposta a partir do servidor para o resolvedor. A mensagem de resposta nunca é enviada sem solicitação. A mensagem de resposta nunca é respondida com uma mensagem de resposta.
- FortiDDoS é implantado antes de um resolvedor DNS, o que poderia ser um resolvedor aberto ou um servidor com autoridade.
- É um dispositivo embutido que pode processar milhões de consultas por segundo e manter uma tabela de memória das perguntas e respostas correspondentes.
- Quando uma resposta de entrada chega, se a consulta correspondente ainda não passou, a resposta pode ser simplesmente deixada cair. Este esquema é um ótimo remédio para ataques de reflexão.
Drop de retransmissões rápidas:
- Qualquer cliente DNS legítimo não envia as mesmas consultas tão cedo, mesmo quando não há perda de pacotes. Há uma disciplina na retransmissão de consulta que tem de ser seguida por RFCs.
- Assim, se as mesmas consultas chegarem muito rápido a partir do mesmo IP para o mesmo destino, elas podem ser descartadas.
Não permita mesmas consultas tão cedo se você já tiver enviado a resposta - Aplicar TTL:
- Um cliente legítimo não envia a mesma consulta novamente se ele já recebeu a resposta.
- Cada resposta é supostamente armazenada até que o TTL expira.
- Sob uma avalanche de consulta, tal esquema pode ser aplicado para bloquear inundações desnecessárias.
Drop de consultas e respostas DNS que são anómalos:
- Os ataques DDoS são escritos principalmente usando scripts. Esses scripts são propensos a erros como qualquer outro software. Eles não necessariamente cumprem as RFCs relacionadas com cabeçalhos de DNS. Assim, um mecanismo de detecção de anomalias simples pode limitar o número de pacotes sob inundações a um nível respeitável às vezes.
Drop de consultas DNS inesperadas ou não solicitadas que você ainda não viu:
- Estas consultas podem ser devido a delegações insatisfatórias, tendo um servidor para resolver, devido a configurações erradas, para fins de depuração ou simplesmente atacar o tráfego. Em todo caso, faz sentido deixá-los.
- Durante os tempos de não inundação, você pode construir uma tabela de consultas legítimas com uma resposta positiva.
- Essa tabela pode ser usada para bloquear consultas sob inundações que não foram vistas antes.
- Isso pode garantir que você não fique inundado com gotejamento, fantasmas de domínio e phantom - subdomínio ataques DDoS DNS.
- Isso também pode garantir que os servidores de nomes oficiais verão consultas somente para nomes de domínio dentro ou abaixo de zonas que têm autoridade para bloquear as chamadas consultas DNS não solicitadas.
Forçar o cliente DNS para provar que não é falsificado:
- Spoofing é uma técnica comum no ataque DNS.
- Se o aparelho pode forçar o cliente para provar suas credenciais não falsificadas, ele pode ser usado para peneirar os pacotes não inundados de pacotes de inundação falsificados.
- FortiDDoS faz isso por meio de técnicas anti-spoofing, forçando transmissão TCP ou uma retransmissão.
Respostas de cache e salvar o servidor DNS de ficar sobrecarregado:
- FortiDDoS tem um cache de DNS de alto desempenho embutido implementado usando a lógica de hardware que pode lidar com milhões de consultas ao DNS por segundo.
- Sob inundação, se uma consulta DNS passa em todos os testes acima, o cache pode responder se a resposta já está no cache, economizando assim o servidor de ficar sobrecarregado.
Use o poder da ACLs:
- Muitas consultas contêm informações que você não pode ter ou pode não querer apoiar. Elas podem ser simplesmente bloqueadas. Por exemplo, se você não quer que os endereços de IP externos para consultas sejam transferidos de zona ou pacotes fragmentados, você deve deixá-los.
Use o poder da ACLs Geo- localização, BCP38 e Reputação IP:
- Toda empresa que hospeda os servidores de DNS tem pegada de cliente limitado.
- Quando os pacotes de ataque são falsificados, estes vêm de todo o mundo em termos de seus endereços de origem. Um simples filtro que bloqueia a geo-localização indesejada ou permite apenas o tráfego de geo-localização desejada vai a um longo caminho.
- De um modo semelhante, a falsificação é aleatória. Às vezes pacotes falsos podem vir de seus endereços interiores. Impondo BCP38 com um filtro de hardware também pode limpar o tráfego de endereços de fontes anômalas.
- BCP38 de execução para prestadores de serviços que fornecem a resolução de DNS para os seus clientes é extremamente poderoso, pois evita seus clientes o envio de ataques externos, bem como receber pacotes de entrada com endereços dentro. Assim, eles podem filtrar seu cliente e seu trânsito.
Over- disposição largura de banda:
- Se o seu tráfego DNS normal é X Gbp, ele garante que você não tenha simplesmente um tubo que é apenas sobre a direita. Mas também tenha um pouco de overprovisioning de modo que você pode lidar com grandes ataques. Com as 10 técnicas simples acima disponíveis para você via FortiDDoS, você pode atenuar um volume de ataques DDoS DNS relacionados e garantir que seus serviços continuem à disposição de seus clientes.
Fonte