общий рецепт повара несколько ролей

У нас есть несколько виртуальных машин в общедоступной сети из-за общедоступных IP-адресов. Сегодня мы получили следующее электронное письмо:

Мы получили следующую жалобу на xxx.xxx.xxx.xxx. пожалуйста расследуйте, примите все необходимые меры и ответьте на это письмо с подробностями в полном разрешении в течение 24 часов, чтобы избежать блокировки и / или прекращение действия за нарушение Условий. Чтобы обеспечить все сообщение получено, пожалуйста, не открывайте заявку в службу поддержки. Просто ответьте на это письмо, и мы свяжемся с вами. Только открытая поддержка билет, если вам нужен техник, чтобы приостановить сервер.

| ----------------------------------- ----------------------------- | | Ниже этой строки приведен пример полученной нами жалобы: | | ------------------------------------------------- --------------- |

Тема: Открытый рекурсивный преобразователь, используемый для атаки: xxx.xxx.xxx.xxx Тело: похоже, вы запускаете открытый рекурсивный преобразователь на IP адрес xxx.xxx.xxx.xxx, который участвовал в атаке на наш клиент, генерирующий большие UDP-ответы на поддельные запросы, эти ответы становятся фрагментированными из-за их размера.

Пожалуйста, подумайте о перенастройке вашего распознавателя в одном или нескольких из них способами:

• Чтобы обслуживать только ваших клиентов и не отвечать на внешние IP-адреса (в BIND это делается путем определения ограниченного набора хостов в "разрешить-запрос"; с DNS-сервером Windows вам нужно будет использовать правила брандмауэра для блокировки внешнего доступа к UDP-порту 53)
• Для обслуживания только тех доменов, для которых он является авторитетным (в BIND это делается путем определения ограниченного набора хостов в «allow-query» для сервер в целом, но установив "allow-query" равным "any" для каждой зоны)
• Для ограничения скорости ответов на отдельные исходные IP-адреса (например, с помощью ограничения скорости ответа DNS или правил iptables)

Подробнее об этом тип атаки и что каждая сторона может сделать с смягчить его можно здесь: http://www.us-cert.gov/ncas/alerts/TA13-088A

Если вы интернет-провайдер, также просмотрите конфигурацию вашей сети и убедитесь, что вы не разрешаете поддельный трафик (который притворяется с внешних IP-адресов) для выхода из сети. Хосты, которые позволяют поддельный трафик делает возможным этот тип атаки.

Приведены примеры ответов DNS от вашего распознавателя во время этой атаки ниже. = 20 Дата / время (крайний левый) - UTC.

... удалено, чтобы скрыть IP-адрес

(Последний октет IP-адреса нашего клиента замаскирован в приведенном выше вывод, потому что некоторые автоматические парсеры путаются, когда несколько IP адреса включены. Значение этого октета - «185».)

Я перешел по ссылке:

https://www.us-cert.gov/ncas/alerts/TA13-088A

Из того, что он мне сообщает злоумышленники используют наши серверы, чтобы вызвать атаки типа «отказ в обслуживании», по крайней мере, это то, что я понял из ссылки.

Это предлагает нам внести следующие изменения:

Мои вопросы: приведет ли это к проблемы с другими виртуальными машинами в сети, и решит ли это проблему? Есть ли какие-нибудь последствия для этого изменения?

Есть ли какие-либо предложения по его устранению? У нас есть 3 контроллера домена, которые нам, вероятно, нужно настроить, чтобы предотвратить это.

Заранее спасибо!

РЕДАКТИРОВАТЬ # 1

Если мы настроим правило брандмауэра, чтобы включить только наши IP-адреса на порт 52, это решит наша проблема? Просто мысль.