Varování před otevřenými rekurzivními nameservery

04.04.2006 22:59

Jak jste mohli zaznamenat v médiích, útoky denial-of-service (DoS) (odmítnutí služby), které používají servery DNS pro zesílení útoku, jsou v poslední době stále častější.

Takovéto útoky používají otevřené rekurzivní nameservery - ORN (Open Recursive Nameservers). Rekurzivní nameserver DNS je "otevřený", jestliže poskytuje své služby nejen uživatelům své místní sítě (tak jak by měl), ale i komukoliv jinému. Útočník pak může odkudkoliv poslat takovému ORN dotaz s falešnou zdrojovou IP adresou (adresou na kterou útočí). ORN pak na tuto adresu pošle odpověď, která obvykle bývá větší než dotaz samotný a útočník tím tak šetří svou šířku pásma a zároveň zesiluje útok.

CZ.NIC chce všem svým členům připomenout, že ORN znamenají nebezpečí pro celý Internet. Spolu s jinými registry TLD hodlá CZ.NIC reagovat na tuto zranitelnost. V současnosti se zvažují možnosti použití omezujících prostředků, přičemž krajní variantou může být i zastavení obsluhy DNS dotazů z ORN.

Z nameserverů uvedených u domén v zóně ".cz" se tento problém týká přibližně 53% nameserverů, což je velmi znepokojující.

Důrazně proto doporučujeme nepoužívat nameservery s otevřenými rekurzemi!

Doporučujeme použít direktivu "recursion no" pro program BIND. Pro legitimní rekurzivní službu pro místní síť (tj. pro klienty, pokud jste poskytovatelé přístupu) je pak zapotřebí použít druhý stroj, druhého daemona nebo "views" v BIND 9. Více o zamezení ORN viz odkazy níže.

Reference:

Zajištění serveru s internetovým jménem
http://www.cert.org/archive/pdf/dns.pdf. Velmi dobrá praktická syntéza pro systémového administrátora.

Zesilující útoky DNS
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf. Dobrý popis současných útoků.

Pokračující hrozba odmítnutí služby (DoS) představovaná rekurzí DNS
http://www.us-cert.gov/reading_room/DNS-recursion121605.pdf. Oficiální poradenství od USAn CERT.

Přestaňte zneužívat můj počítač v DDOSes, děkuji
http://weblog.barnet.com.au/edwin/cat_networking.html. Popis prvního známého případu, označovaného jako "x.p.ctrc.cc".

Bezpečná šablona pro BIND
http://www.cymru.com/Documents/secure-bind-template.html. Šablona popisující bezpečnou konfiguraci BIND 9.