सार्वजनिक मुखर पुनरावर्ती DNS सर्वर - iptables नियम

हम लिनक्स मशीनों पर सार्वजनिक-सामना करने वाले पुनरावर्ती DNS सर्वर चलाते हैं। हम डीएनएस प्रवर्धन हमलों के लिए उपयोग किया गया है। क्या कोई अनुशंसित iptablesनियम हैं जो इन हमलों को कम करने में मदद करेंगे?

स्पष्ट समाधान सिर्फ आउटबाउंड DNS पैकेट को एक निश्चित ट्रैफ़िक स्तर तक सीमित करने के लिए है। लेकिन मैं उम्मीद कर रहा था कि कुछ और अधिक चालाक हो सकता है ताकि एक हमले के शिकार आईपी पते पर यातायात अवरुद्ध हो जाए।

मैंने सलाह और सुझावों के लिए खोज की है, लेकिन वे सभी "सार्वजनिक रूप से पुनरावर्ती नाम सर्वर नहीं चलाते" प्रतीत होते हैं। दुर्भाग्य से, हम एक ऐसी स्थिति में समर्थित होते हैं, जहां चीजें बदलना आसान नहीं होती हैं, यदि हम ऐसा नहीं करते हैं, तो यह टूट जाएगा, और यह उन हमलों से पहले एक दशक से अधिक समय पहले किए गए निर्णयों के कारण है।

एक "नहीं मेरी समस्या" परिदृश्य की पुनरावृत्ति की पूरी बात यह है कि वास्तव में आपकी गलती नहीं है और उचित कार्रवाई करके 100% हल किया जाना चाहिए, चाहे वह कितना भी "मुश्किल" या "कठिन" हो, और यह आपकी समाप्ति है खुला पुनरावर्ती सर्वर ।

इसे चरणबद्ध करें: ग्राहकों को बताएं कि यह सर्वर एक्स तारीख के रूप में दूर जा रहा है। उस समय के बाद, उन्हें अपने DNS सर्वर का उपयोग करने से रोकने के लिए एक पैच स्थापित करना होगा (आपके पास एक है)। यह हर समय किया जाता है। Sysadmins, नेटवर्क व्यवस्थापक, हेल्पडेस्क लड़के, प्रोग्रामर? हम इसे प्राप्त करते हैं; जीवन का यह अंत हर समय होता है, क्योंकि एक विक्रेता / सेवा प्रदाता / साझेदार के लिए इसकी मानक संचालन प्रक्रिया हमें एक्स तारीख के बाद कुछ का उपयोग करने से रोकने के लिए कहती है। हम इसे हमेशा पसंद नहीं करते हैं, लेकिन आईटी में जीवन का एक तथ्य है।

आप कहते हैं कि आपके पास वर्तमान डिवाइस पर यह समस्या नहीं है, इसलिए मैं मान रहा हूं कि आपने फर्मवेयर अपडेट या पैच के साथ इस समस्या को हल कर लिया है। मुझे पता है कि आपने कहा था कि आप डिवाइस को छू नहीं सकते, लेकिन निश्चित रूप से वे कर सकते हैं? मेरा मतलब है, अगर वे इन बक्सों को अनिवार्य रूप से आपके घर फोन करने की अनुमति दे रहे हैं, तो वे वास्तव में उस गुदा के बारे में नहीं हो सकते हैं जो अपने उपकरणों के लिए क्या कर रहे हैं; आपके पास उन सभी के लिए एक रिवर्स प्रॉक्सी सेटअप हो सकता है, तो क्यों न उन्हें एक पैच स्थापित किया जाए जो इसे ठीक करता है या उन्हें अपने स्वयं के DNS सर्वर का उपयोग करने के लिए कहता है । निश्चित रूप से आपका डिवाइस डीएचसीपी का समर्थन करता है; मैं एक नेटवर्क डिवाइस के बारे में नहीं सोच सकता (कोई फर्क नहीं पड़ता कि पुराना / अजीब / विषम) जो नहीं करता है ।

यदि आप ऐसा नहीं कर सकते हैं, तो अगली बात यह है कि कौन आपके पुनरावर्ती सर्वर तक पहुँच प्राप्त कर सकता है : आप कहते हैं कि यह "कठिन" है कि कौन इसका उपयोग कर रहा है और कैसे, लेकिन यह निश्चित समय है और ट्रैफ़िक छोड़ने का आरंभ करने का समय है वैध नहीं है।

ये "अर्ध-सैन्य / सरकार" संगठन हैं, है ना? खैर, वे संभावित रूप से एक वैध नेटब्लॉक का हिस्सा हैं जो उनके पास है; ये डिवाइस डायनेमिक IP के पीछे होम राउटर नहीं हैं। मालूम करना। उनसे संपर्क करें, समस्या के बारे में बताएं और फर्मवेयर या उत्पाद प्रतिस्थापन के लिए मजबूर न करके आप उन्हें बहुत पैसा बचा रहे हैं यदि केवल वे नेटब्लॉक / आईपी पते की पुष्टि कर सकते हैं जो डिवाइस आपके DNS सर्वर तक पहुंचने के लिए उपयोग कर रहा होगा।

यह हर समय किया जाता है: मेरे पास कई ग्राहक हैं जो इस तरह से हेल्थकेयर भागीदारों के लिए एक्सट्रानेट एक्सेस या एचएल 7 श्रोताओं को प्रतिबंधित करते हैं; यह इतना कठिन नहीं हैउन्हें एक फॉर्म भरने के लिए और आईपी और / या नेटब्लॉक प्रदान करने के लिए मुझे ट्रैफ़िक की अपेक्षा करनी चाहिए: यदि वे एक्स्ट्रानेट तक पहुंच चाहते हैं, तो उन्हें मुझे एक आईपी या सबनेट देना होगा। और यह शायद ही कभी एक चलती लक्ष्य है, इसलिए ऐसा नहीं है कि आप हर दिन सैकड़ों आईपी परिवर्तन अनुरोधों के साथ जलमग्न होने वाले हैं: बड़े कैंपस अस्पताल नेटवर्क जो कि सैकड़ों सबनेट और हजारों और हजारों होस्ट आईपी के साथ अपने स्वयं के नेटब्लॉक के मालिक हैं। एक मुट्ठी भर IP पते या एक सबनेट जिसकी मुझे उम्मीद होनी चाहिए; फिर से, ये लैपटॉप उपयोगकर्ता हर समय परिसर के चारों ओर घूमते नहीं हैं, इसलिए मैं कभी-बदलते आईपी पते से यूडीपी स्रोत पैकेट देखने की अपेक्षा क्यों करूंगा? स्पष्ट रूप से मैं यहां एक धारणा बना रहा हूं, लेकिन मैं शर्त लगाता हूं कि यह उतना नहीं है जितना आप <100 के उपकरणों के लिए सोचते हैं। हाँ, यह एक लंबा ACL होगा, और हाँ,

यदि किसी कारण से संचार के चैनल खुले नहीं हैं (या किसी को बहुत डर है या इन विरासत उपकरण मालिकों से संपर्क करने और इसे ठीक से करने के लिए परेशान नहीं किया जा सकता है), तो आपको सामान्य उपयोग / गतिविधि की आधार रेखा स्थापित करने की आवश्यकता है ताकि आप तैयार कर सकें कुछ अन्य रणनीति जो DNS प्रवर्धन हमलों में आपकी भागीदारी को रोकने में (लेकिन रोकथाम नहीं) मदद करेगी ।

tcpdumpआने वाले UDP 53 और DNS सर्वर एप्लिकेशन पर वर्बोज़ लॉगिंग पर एक लंबे समय तक चलने वाले काम को फ़िल्टर करना चाहिए। मैं भी स्रोत आईपी पते / नेटब्लॉक / जियोआईपी जानकारी एकत्र करना शुरू करना चाहता हूं (क्या आपके सभी ग्राहक यूएस में हैं? बाकी सब कुछ ब्लॉक करें) क्योंकि, जैसा कि आप कहते हैं, आप कोई नया उपकरण नहीं जोड़ रहे हैं, आप केवल एक विरासत प्रदान कर रहे हैं मौजूदा प्रतिष्ठानों के लिए सेवा।

यह आपको यह समझने में भी मदद करेगा कि किस प्रकार के रिकॉर्ड का अनुरोध किया जा रहा है, और किस डोमेन के लिए, किसके द्वारा, और कितनी बार : DNS प्रवर्धन के रूप में काम करने के लिए, हमलावर को एक बड़े रिकॉर्ड प्रकार (1) का अनुरोध करने में सक्षम होने की आवश्यकता है कार्यशील डोमेन (2)।

1. "बड़े रिकॉर्ड प्रकार": क्या आपके डिवाइस को आपके पुनरावर्ती DNS सर्वर द्वारा हल किए जाने के लिए TXT या SOA रिकॉर्ड की भी आवश्यकता है? आप यह निर्दिष्ट करने में सक्षम हो सकते हैं कि आपके DNS सर्वर पर कौन से रिकॉर्ड प्रकार मान्य हैं; मेरा मानना ​​है कि यह BIND और शायद विंडोज DNS के साथ संभव है, लेकिन आपको कुछ खुदाई करनी होगी। यदि आपका DNS सर्वर SERVFAILकिसी भी TXT या SOA रिकॉर्ड के साथ प्रतिक्रिया करता है, और कम से कम उस प्रतिक्रिया का आशय एक परिमाण (या दो) है जो उस पेलोड की तुलना में छोटा था, जिसका उद्देश्य था। जाहिर है कि आप अभी भी "समस्या का हिस्सा" हैं क्योंकि स्पूफ किए गए पीड़ित को अभी भी SERVFAILआपके सर्वर से उन प्रतिक्रियाएं मिल रही हैं , लेकिन कम से कम आप उन्हें हथौड़ा नहीं दे रहे हैं और शायद आपके डीएनएस सर्वर को कटे हुए सूची से "हटा दिया गया" है। बॉट "सहयोग" नहीं करने के लिए समय के साथ उपयोग करते हैं।

2. "कार्यशील डोमेन": आप केवल उन डोमेन को श्वेतसूची में सक्षम कर सकते हैं जो वैध हैं। मैं अपने कठोर डेटा सेंटर सेटअप पर ऐसा करता हूं जहां सर्वर (नों) को कार्य करने के लिए केवल विंडोज अपडेट, सिमेंटेक आदि की आवश्यकता होती है। हालाँकि, आप सिर्फ इस बिंदु पर होने वाले नुकसान को कम कर रहे हैं: पीड़ित को अभी भी आपके सर्वर से बमबारी NXDOMAINया SERVFAILप्रतिक्रिया मिल जाएगी क्योंकि आपका सर्वर अभी भी जाली स्रोत आईपी का जवाब देगा। फिर से, बीओटी स्क्रिप्ट भी स्वचालित रूप से अपडेट हो सकती है यह परिणामों के आधार पर खुली सर्वर सूची है, इसलिए यह आपके सर्वर को हटा सकता है।

मैं रेट लिमिटिंग के कुछ रूप का भी उपयोग करूँगा, जैसा कि दूसरों ने सुझाव दिया है, या तो आवेदन स्तर पर (यानी संदेश का आकार, प्रति ग्राहक सीमाओं के लिए अनुरोध) या फ़ायरवॉल स्तर (अन्य उत्तर देखें), लेकिन फिर, आप करने जा रहे हैं यह सुनिश्चित करने के लिए कुछ विश्लेषण करना होगा कि आप वैध यातायात को नहीं मार रहे हैं।

एक घुसपैठ का पता लगाने वाली प्रणाली जिसे ट्यून और / या प्रशिक्षित किया गया है (फिर से, यहां एक आधार रेखा की आवश्यकता है) स्रोत या वॉल्यूम द्वारा समय के साथ असामान्य ट्रैफ़िक का पता लगाने में सक्षम होना चाहिए, लेकिन संभवतः गलत सूचनाओं को रोकने के लिए नियमित रूप से बच्चा सम्भालना / ट्यूनिंग / निगरानी करना होगा और / या देखें कि क्या यह वास्तव में हमलों को रोक रहा है।

दिन के अंत में, आपको आश्चर्य होगा कि क्या यह सब प्रयास इसके लायक है या यदि आपको सिर्फ यह आग्रह करना चाहिए कि सही काम किया गया है और यह पहली जगह में समस्या को समाप्त कर रहा है।

यह इस बात पर निर्भर करता है कि आप किस तरह की दरों को सीमित करना चाहते हैं।

दर के साथ सीमित iptablesवास्तव में अधिक आने वाले पैकेट सीमित करने के लिए करना है, के बाद से सीमा के पैकेट अप फिल्टर से मेल खाते और होगा निर्दिष्ट लक्ष्य आवेदन किया है (जैसे, ACCEPT)। आप संभवतः DROPफ़िल्टर द्वारा मिलान नहीं किए गए पैकेट के लिए एक बाद का लक्ष्य रखेंगे । और यद्यपि iptablesइसका एक QUEUEलक्ष्य है, यह केवल उस पैकेट को उपयोगकर्ता स्थान तक पहुंचाता है जहाँ आपको अपने स्वयं के पंक्तिबद्ध अनुप्रयोग की आपूर्ति करने की आवश्यकता होती है। आप आउटगोइंग पैकेट को भी सीमित कर सकते हैं, लेकिन कुछ लोग वास्तव में आउटगोइंग ट्रैफ़िक को छोड़ना शुरू करना चाहते हैं।

iptables दर सीमा गिरना:

iptables -A INPUT -p udp --port 53 -m hashlimit --hashlimit 1/minute --hashlimit-burst 5 -j ACCEPT
iptables -A INPUT -p udp --port 53 -j DROP

hashlimitइसके बजाय का उपयोग करने से limitआपको प्रति गंतव्य आईपी की दर सीमित हो जाएगी। यानी, पांच पैकेट 8.8.8.8 तक, जो सीमा से टकराता है, पैकेट को 8.8.4.4 पर भेजा जा सकता है, जबकि hashlimitअगर 8.8.8.8 अधिकतम है तो आप अभी भी 8.8.4.4 तक पहुंच सकते हैं, जो आपको लगता है कि अधिक पसंद है।

यदि आप पैकेट को सीमा से बाहर नहीं रखना चाहते हैं तो आप वास्तव में क्या चाहते हैं tc। tcबहुत सारे ट्रैफ़िक के बजाय एक अच्छी स्थिर धारा प्राप्त करने के लिए प्रवाह पर नियमन करेंगे। आने वाले साइड पैकेट्स को एप्लिकेशन धीमे पर वितरित किया जाता है, लेकिन सभी क्रम में पहुंचेंगे। आउटगोइंग पैकेट पर आपके एप्लिकेशन को जितनी जल्दी हो सके छोड़ दिया जाएगा लेकिन एक सुसंगत स्ट्रीम में तार पर रखा जाएगा।

मैंने tcबहुत उपयोग नहीं किया है, लेकिन यहाँ ICMP को सीमित करने का एक उदाहरण है जिसे आप DNS के लिए आसानी से अनुकूलित कर सकते हैं।

यहां एक बात है जो आप स्पूफ किए गए प्रश्नों के संभावित प्रतिक्रियाओं को कम करने के लिए कर सकते हैं, लेकिन यह कुछ काम लेता है:

सबसे पहले, सुरक्षा चैनल के अपने लॉग पर एक नज़र डालें और एक आईपी पता ढूंढें जो खराब हो रहा है।

फिर उस स्रोत IP (10.11.12.13) का उपयोग करके एक tcpdump को इस तरह चलाएं:

tcpdump -n src 10.11.12.13 and udp dst port 53 -v -X -S

आपको कुछ इस तरह मिलेगा:

18: 37: 25.969485 IP (tos 0x0, ttl 52, id 46403, ऑफसेट 0, झंडे [कोई नहीं], प्रोटो: UDP (17), लंबाई: 45) 10.11.12.13.51169: 01.02.03.04.domain: 4215+ कोई भी ? । (17)
        0x0000: 4500 002d b543 0000 3411 b9d9 0A0B 0C0B E ..-। C..4 ......।
        0x0010: 0102 0304 c7e1 0035 0019 0e89 1077 0100 ....... 5 ..... w ।।
        0x0020: 0001 0000 0000 0000 0000 ff00 0100 ..............

अब मज़ा हिस्सा! पर rfc1035 खोलें http://tools.ietf.org/html/rfc1035 और खंड 4.1.1 करने के लिए बदल जाते हैं।

यह tcpdump के परिणामों का अनुवाद करने और एक पैटर्न का पता लगाने का समय है जिसका उपयोग हम एक पैकेट स्तर फ़िल्टर बनाने के लिए कर सकते हैं।

हेडर की आईडी 0x1C से शुरू होती है, इसलिए हमें 0x1E पर कुछ झंडे मिले हैं, 0x20 पर QDCOUNT, 0x22 पर ANCOUNT, 0x24 पर NSCOUNT और 0x26 पर ARCOUNT।

यह वास्तविक प्रश्न को 0x28 पर छोड़ता है, जो कि इस मामले में NAME के ​​लिए अशक्त (ROOT) है, 0xFF के लिए क्यूटीपीईई = कोई भी, और 0x01 QCLASS = IN के लिए।

एक लंबी कहानी को छोटा करने के लिए, मैंने पाया है कि स्पूफ किए गए प्रश्नों के 95% से अधिक iptables नियम को जोड़ना जो रूट में किसी भी रिकॉर्ड का अनुरोध कर रहे हैं:

iptables -A INPUT -p udp --dport domain -m u32 --u32 "0x28=0x0000ff00" -j DROP

आपका माइलेज अलग-अलग हो सकता है ... उम्मीद है कि इससे मदद मिलेगी।

tcआउटबाउंड पोर्ट 53 यूडीपी के लिए लिनक्स में विषयों का उपयोग और कतारबद्ध करना :

IFACE=eth0    
tc qdisc  add dev ${IFACE} root handle 1: htb default 0
tc class  add dev ${IFACE} parent 1: classid 1:1 htb rate   10mbit burst 20m
tc qdisc  add dev ${IFACE} parent 1:1 handle 10: sfq perturb 1
tc filter add dev ${IFACE} protocol ip parent 1:0 prio 1 handle 1 fw flowid 1:1

आपको discफ़ायरवॉल मार्क '1' के साथ किसी भी पैकेट के लिए 10 मीबिट तक सीमित कर देगा। फ़ायरवॉल चिह्न फ़ायरवॉल के लिए केवल आंतरिक हैं, और पैकेट को संशोधित नहीं करते हैं। सिर्फ कतार के अनुशासन से पैकेट को संभालना। यहाँ आप iptablesफ़ायरवॉल चिह्नों को बनाने के लिए कैसे उपयोग करते हैं:

iptables -A PREROUTING -o eth0 -p udp --sport 53 -t mangle -j MARK --set-mark 1
iptables -A PREROUTING -o eth0 -p udp --dport 53 -t mangle -j MARK --set-mark 1

विश्वसनीय सबनेट और / या गंतव्यों को बाहर करने के लिए अपनी पसंद को संशोधित करें। -o eth0केवल आउटबाउंड पैकेट को आकार देने की सीमा। उम्मीद है की यह मदद करेगा।

मैं सभी ग्राहकों की एक सूची बनाने की कोशिश करूँगा जो आपके बाहरी रूप से पुनरावर्ती रिज़ॉल्वर का सामना कर रहे हैं। DNS बॉक्स पर एक या एक दिन के पैकेट निशान के साथ शुरू करें। वहां से, उस ट्रैफ़िक को पहचानने और अधिकृत करने की अनुमति देने के लिए iptables नियम बनाना शुरू करें। डिफ़ॉल्ट रूप से अंत में यातायात को 53 / tcp और 53 / udp पर छोड़ना होगा। यदि वह कुछ तोड़ता है, तो अपने नियमों को ठीक करें।

नेटवर्क 'स्थिति' के आधार पर आप [बहु bgp फीड होने या इंटरनेट के 'अंत' में - एक स्टब नेटवर्क के रूप में] के आधार पर आप सोर्स एड्रेस स्पूफिंग को रोकने के लिए uRPF जैसी कुछ कोशिश कर सकते हैं ।

जानकारी के अन्य स्रोत।

क्या ये उपकरण अभी भी एक समर्थन अनुबंध के तहत हैं? यदि हां, तो अपने ग्राहकों तक पहुंचें। उन्हें बताएं कि इंटरनेट पिछले एक दशक में थोड़ा विकसित हुआ है और इन उपकरणों के लिए नाम समाधान प्रदान करना जारी रखने के लिए आपको एसआरसी आईपी से प्रश्नों की अपेक्षा करने के लिए जानना होगा। भविष्य में एक तारीख ~ 6 महीने निर्धारित करें जिस समय आप अनजान ग्राहकों की सेवा नहीं कर पाएंगे, और उससे चिपके रहेंगे। यह उद्योग में एक बहुत ही आम बात है। यदि ये डिवाइस अब एक समर्थन अनुबंध के तहत नहीं हैं ... तो एक व्यापार निर्णय की तरह लगता है। आपकी कंपनी प्राचीन उत्पाद पर संसाधनों को खर्च करने का इरादा कब तक रखती है जो अब राजस्व उत्पन्न नहीं करता है?

विशेष उपकरणों की तरह ये ध्वनि, क्या वे इतने विशिष्ट हैं कि आप यथोचित भविष्यवाणी कर सकते हैं कि कौन से डोमेन के लिए वैध प्रश्नों की अपेक्षा करें? बाइंड विचारों का समर्थन करता है, एक सार्वजनिक दृश्य बनाएं जो केवल उन डोमेन के लिए पुनरावृत्ति करता है।

इसे सीखने के अवसर के रूप में उपयोग करें, यदि आपने पहले से ऐसा नहीं किया है, तो उन उत्पादों को छोड़ना बंद करें जहां आपके पास बग को ठीक करने की क्षमता नहीं है। यही कारण है कि यह एक बग है। एक जो निश्चित रूप से समय से पहले या बाद में इस उपकरण को ईओएल करेगा।

नैनोग से कहीं, यह:

iptables -A INPUT -p udp --dport 53 -m hashlimit \
--hashlimit-name DNS --hashlimit-above 20/second --hashlimit-mode srcip \
--hashlimit-burst 100 --hashlimit-srcmask 28 -j DROP 

यह आदर्श नहीं है। बेहतर हो सकता है कि प्रति पैकेट कम पैकेट की अनुमति दी जाए, और अधिक फट जाए।

यहाँ एक समाधान है जो मैंने DDOS हमलों के खिलाफ कई बार इस्तेमाल किया है, यह सही नहीं है लेकिन मुझे मदद मिली। समाधान में एक स्क्रिप्ट शामिल है जिसे क्रोन द्वारा प्रत्येक एन मिनट (जैसे 1,2,3 आदि मिनट) कहा जा रहा है और आईपी को ब्लॉक करता है जो कई कनेक्शनों को बड़ा बना रहा है और फिर स्क्रिप्ट में दिए गए एक:

#!/bin/sh

PORT_TO_CHECK="53"
CONNECTION_LIMIT="20"
IPTABLES="/sbin/iptables"

netstat -an > /tmp/netstat.tmp
Buf_var1=`cat /tmp/netstat.tmp | grep -v "LISTEN"| grep ":$PORT_TO_CHECK\ " | grep -v "0.0.0.0" | awk '{print $5}' | grep -v ":$PORT_TO_CHECK$" | sed -e 's/^::ffff://g' -e 's/:.*$//g' | sort | uniq`
i=0
banned_flag=0
for conn in `for i in $Buf_var1; do echo -n "$i "; cat /tmp/netstat.tmp | grep -c $i;done | grep -v "=\ 0"`;do
[ $i = 0 ] && connip=$conn && i=1
[ $i = 2 ] && {
connum=$conn
[ $connum -ge $CONNECTION_LIMIT ] && {
[ "$var_test" = "" ] && {
$IPTABLES -I INPUT -s $connip -j DROP
banned_flag=1
}
}
}
[ $banned_flag = 1 ] && i=0
[ $i = 1 ] && i=2
done
rm -f /tmp/netstat.tmp