У нас есть несколько виртуальных машин в общедоступной сети из-за общедоступных IP-адресов. Сегодня мы получили следующее электронное письмо:
Мы получили следующую жалобу на xxx.xxx.xxx.xxx. пожалуйста расследуйте, примите все необходимые меры и ответьте на это письмо с подробностями в полном разрешении в течение 24 часов, чтобы избежать блокировки и / или прекращение действия за нарушение Условий. Чтобы обеспечить все сообщение получено, пожалуйста, не открывайте заявку в службу поддержки. Просто ответьте на это письмо, и мы свяжемся с вами. Только открытая поддержка билет, если вам нужен техник, чтобы приостановить сервер.
| ----------------------------------- ----------------------------- | | Ниже этой строки приведен пример полученной нами жалобы: | | ------------------------------------------------- --------------- |
Тема: Открытый рекурсивный преобразователь, используемый для атаки: xxx.xxx.xxx.xxx Тело: похоже, вы запускаете открытый рекурсивный преобразователь на IP адрес xxx.xxx.xxx.xxx, который участвовал в атаке на наш клиент, генерирующий большие UDP-ответы на поддельные запросы, эти ответы становятся фрагментированными из-за их размера.
Пожалуйста, подумайте о перенастройке вашего распознавателя в одном или нескольких из них способами:
- Чтобы обслуживать только ваших клиентов и не отвечать на внешние IP-адреса (в BIND это делается путем определения ограниченного набора хостов в "разрешить-запрос"; с DNS-сервером Windows вам нужно будет использовать правила брандмауэра для блокировки внешнего доступа к UDP-порту 53)
- Для обслуживания только тех доменов, для которых он является авторитетным (в BIND это делается путем определения ограниченного набора хостов в «allow-query» для сервер в целом, но установив "allow-query" равным "any" для каждой зоны)
- Для ограничения скорости ответов на отдельные исходные IP-адреса (например, с помощью ограничения скорости ответа DNS или правил iptables)
Подробнее об этом тип атаки и что каждая сторона может сделать с смягчить его можно здесь: http://www.us-cert.gov/ncas/alerts/TA13-088A
Если вы интернет-провайдер, также просмотрите конфигурацию вашей сети и убедитесь, что вы не разрешаете поддельный трафик (который притворяется с внешних IP-адресов) для выхода из сети. Хосты, которые позволяют поддельный трафик делает возможным этот тип атаки.
Приведены примеры ответов DNS от вашего распознавателя во время этой атаки ниже. = 20 Дата / время (крайний левый) - UTC.
... удалено, чтобы скрыть IP-адрес
(Последний октет IP-адреса нашего клиента замаскирован в приведенном выше вывод, потому что некоторые автоматические парсеры путаются, когда несколько IP адреса включены. Значение этого октета - «185».)
Я перешел по ссылке:
https://www.us-cert.gov/ncas/alerts/TA13-088A
Из того, что он мне сообщает злоумышленники используют наши серверы, чтобы вызвать атаки типа «отказ в обслуживании», по крайней мере, это то, что я понял из ссылки.
Это предлагает нам внести следующие изменения:
Мои вопросы: приведет ли это к проблемы с другими виртуальными машинами в сети, и решит ли это проблему? Есть ли какие-нибудь последствия для этого изменения?
Есть ли какие-либо предложения по его устранению? У нас есть 3 контроллера домена, которые нам, вероятно, нужно настроить, чтобы предотвратить это.
Заранее спасибо!
РЕДАКТИРОВАТЬ # 1
Если мы настроим правило брандмауэра, чтобы включить только наши IP-адреса на порт 52, это решит наша проблема? Просто мысль.
Вы должны отключить рекурсивные запросы на любых DNS-серверах, подключенных к Интернету. Скорее всего, не рекомендуется разрешать входящий доступ в Интернет вашему контроллеру домена. Блокировка рекурсии нарушит работу DNS для любого хоста, использующего ваш контроллер домена в качестве DNS-серверов. В этом случае будет уместно настроить правила брандмауэра, разрешающие только исходящий доступ (и ответы) на порт 53.
Если вы публикуете адреса в своем домене в Интернете, это должно выполняться отдельным DNS-сервером. Обычно для таких целей используется регистратор вашего домена.
Некоторое программное обеспечение DNS может работать в режиме разделения мозга, когда они предоставляют ограниченный набор услуг для Интернета и полный рекурсивный доступ к локальной сети. Не знаю, возможно ли это в вашем случае.