एक "नहीं मेरी समस्या" परिदृश्य की पुनरावृत्ति की पूरी बात यह है कि वास्तव में आपकी गलती नहीं है और उचित कार्रवाई करके 100% हल किया जाना चाहिए, चाहे वह कितना भी "मुश्किल" या "कठिन" हो, और यह आपकी समाप्ति है खुला पुनरावर्ती सर्वर ।
इसे चरणबद्ध करें: ग्राहकों को बताएं कि यह सर्वर एक्स तारीख के रूप में दूर जा रहा है। उस समय के बाद, उन्हें अपने DNS सर्वर का उपयोग करने से रोकने के लिए एक पैच स्थापित करना होगा (आपके पास एक है)। यह हर समय किया जाता है। Sysadmins, नेटवर्क व्यवस्थापक, हेल्पडेस्क लड़के, प्रोग्रामर? हम इसे प्राप्त करते हैं; जीवन का यह अंत हर समय होता है, क्योंकि एक विक्रेता / सेवा प्रदाता / साझेदार के लिए इसकी मानक संचालन प्रक्रिया हमें एक्स तारीख के बाद कुछ का उपयोग करने से रोकने के लिए कहती है। हम इसे हमेशा पसंद नहीं करते हैं, लेकिन आईटी में जीवन का एक तथ्य है।
आप कहते हैं कि आपके पास वर्तमान डिवाइस पर यह समस्या नहीं है, इसलिए मैं मान रहा हूं कि आपने फर्मवेयर अपडेट या पैच के साथ इस समस्या को हल कर लिया है। मुझे पता है कि आपने कहा था कि आप डिवाइस को छू नहीं सकते, लेकिन निश्चित रूप से वे कर सकते हैं? मेरा मतलब है, अगर वे इन बक्सों को अनिवार्य रूप से आपके घर फोन करने की अनुमति दे रहे हैं, तो वे वास्तव में उस गुदा के बारे में नहीं हो सकते हैं जो अपने उपकरणों के लिए क्या कर रहे हैं; आपके पास उन सभी के लिए एक रिवर्स प्रॉक्सी सेटअप हो सकता है, तो क्यों न उन्हें एक पैच स्थापित किया जाए जो इसे ठीक करता है या उन्हें अपने स्वयं के DNS सर्वर का उपयोग करने के लिए कहता है । निश्चित रूप से आपका डिवाइस डीएचसीपी का समर्थन करता है; मैं एक नेटवर्क डिवाइस के बारे में नहीं सोच सकता (कोई फर्क नहीं पड़ता कि पुराना / अजीब / विषम) जो नहीं करता है ।
यदि आप ऐसा नहीं कर सकते हैं, तो अगली बात यह है कि कौन आपके पुनरावर्ती सर्वर तक पहुँच प्राप्त कर सकता है : आप कहते हैं कि यह "कठिन" है कि कौन इसका उपयोग कर रहा है और कैसे, लेकिन यह निश्चित समय है और ट्रैफ़िक छोड़ने का आरंभ करने का समय है वैध नहीं है।
ये "अर्ध-सैन्य / सरकार" संगठन हैं, है ना? खैर, वे संभावित रूप से एक वैध नेटब्लॉक का हिस्सा हैं जो उनके पास है; ये डिवाइस डायनेमिक IP के पीछे होम राउटर नहीं हैं। मालूम करना। उनसे संपर्क करें, समस्या के बारे में बताएं और फर्मवेयर या उत्पाद प्रतिस्थापन के लिए मजबूर न करके आप उन्हें बहुत पैसा बचा रहे हैं यदि केवल वे नेटब्लॉक / आईपी पते की पुष्टि कर सकते हैं जो डिवाइस आपके DNS सर्वर तक पहुंचने के लिए उपयोग कर रहा होगा।
यह हर समय किया जाता है: मेरे पास कई ग्राहक हैं जो इस तरह से हेल्थकेयर भागीदारों के लिए एक्सट्रानेट एक्सेस या एचएल 7 श्रोताओं को प्रतिबंधित करते हैं; यह इतना कठिन नहीं हैउन्हें एक फॉर्म भरने के लिए और आईपी और / या नेटब्लॉक प्रदान करने के लिए मुझे ट्रैफ़िक की अपेक्षा करनी चाहिए: यदि वे एक्स्ट्रानेट तक पहुंच चाहते हैं, तो उन्हें मुझे एक आईपी या सबनेट देना होगा। और यह शायद ही कभी एक चलती लक्ष्य है, इसलिए ऐसा नहीं है कि आप हर दिन सैकड़ों आईपी परिवर्तन अनुरोधों के साथ जलमग्न होने वाले हैं: बड़े कैंपस अस्पताल नेटवर्क जो कि सैकड़ों सबनेट और हजारों और हजारों होस्ट आईपी के साथ अपने स्वयं के नेटब्लॉक के मालिक हैं। एक मुट्ठी भर IP पते या एक सबनेट जिसकी मुझे उम्मीद होनी चाहिए; फिर से, ये लैपटॉप उपयोगकर्ता हर समय परिसर के चारों ओर घूमते नहीं हैं, इसलिए मैं कभी-बदलते आईपी पते से यूडीपी स्रोत पैकेट देखने की अपेक्षा क्यों करूंगा? स्पष्ट रूप से मैं यहां एक धारणा बना रहा हूं, लेकिन मैं शर्त लगाता हूं कि यह उतना नहीं है जितना आप <100 के उपकरणों के लिए सोचते हैं। हाँ, यह एक लंबा ACL होगा, और हाँ,
यदि किसी कारण से संचार के चैनल खुले नहीं हैं (या किसी को बहुत डर है या इन विरासत उपकरण मालिकों से संपर्क करने और इसे ठीक से करने के लिए परेशान नहीं किया जा सकता है), तो आपको सामान्य उपयोग / गतिविधि की आधार रेखा स्थापित करने की आवश्यकता है ताकि आप तैयार कर सकें कुछ अन्य रणनीति जो DNS प्रवर्धन हमलों में आपकी भागीदारी को रोकने में (लेकिन रोकथाम नहीं) मदद करेगी ।
tcpdump
आने वाले UDP 53 और DNS सर्वर एप्लिकेशन पर वर्बोज़ लॉगिंग पर एक लंबे समय तक चलने वाले काम को फ़िल्टर करना चाहिए। मैं भी स्रोत आईपी पते / नेटब्लॉक / जियोआईपी जानकारी एकत्र करना शुरू करना चाहता हूं (क्या आपके सभी ग्राहक यूएस में हैं? बाकी सब कुछ ब्लॉक करें) क्योंकि, जैसा कि आप कहते हैं, आप कोई नया उपकरण नहीं जोड़ रहे हैं, आप केवल एक विरासत प्रदान कर रहे हैं मौजूदा प्रतिष्ठानों के लिए सेवा।
यह आपको यह समझने में भी मदद करेगा कि किस प्रकार के रिकॉर्ड का अनुरोध किया जा रहा है, और किस डोमेन के लिए, किसके द्वारा, और कितनी बार : DNS प्रवर्धन के रूप में काम करने के लिए, हमलावर को एक बड़े रिकॉर्ड प्रकार (1) का अनुरोध करने में सक्षम होने की आवश्यकता है कार्यशील डोमेन (2)।
"बड़े रिकॉर्ड प्रकार": क्या आपके डिवाइस को आपके पुनरावर्ती DNS सर्वर द्वारा हल किए जाने के लिए TXT या SOA रिकॉर्ड की भी आवश्यकता है? आप यह निर्दिष्ट करने में सक्षम हो सकते हैं कि आपके DNS सर्वर पर कौन से रिकॉर्ड प्रकार मान्य हैं; मेरा मानना है कि यह BIND और शायद विंडोज DNS के साथ संभव है, लेकिन आपको कुछ खुदाई करनी होगी। यदि आपका DNS सर्वर SERVFAIL
किसी भी TXT या SOA रिकॉर्ड के साथ प्रतिक्रिया करता है, और कम से कम उस प्रतिक्रिया का आशय एक परिमाण (या दो) है जो उस पेलोड की तुलना में छोटा था, जिसका उद्देश्य था। जाहिर है कि आप अभी भी "समस्या का हिस्सा" हैं क्योंकि स्पूफ किए गए पीड़ित को अभी भी SERVFAIL
आपके सर्वर से उन प्रतिक्रियाएं मिल रही हैं , लेकिन कम से कम आप उन्हें हथौड़ा नहीं दे रहे हैं और शायद आपके डीएनएस सर्वर को कटे हुए सूची से "हटा दिया गया" है। बॉट "सहयोग" नहीं करने के लिए समय के साथ उपयोग करते हैं।
"कार्यशील डोमेन": आप केवल उन डोमेन को श्वेतसूची में सक्षम कर सकते हैं जो वैध हैं। मैं अपने कठोर डेटा सेंटर सेटअप पर ऐसा करता हूं जहां सर्वर (नों) को कार्य करने के लिए केवल विंडोज अपडेट, सिमेंटेक आदि की आवश्यकता होती है। हालाँकि, आप सिर्फ इस बिंदु पर होने वाले नुकसान को कम कर रहे हैं: पीड़ित को अभी भी आपके सर्वर से बमबारी NXDOMAIN
या SERVFAIL
प्रतिक्रिया मिल जाएगी क्योंकि आपका सर्वर अभी भी जाली स्रोत आईपी का जवाब देगा। फिर से, बीओटी स्क्रिप्ट भी स्वचालित रूप से अपडेट हो सकती है यह परिणामों के आधार पर खुली सर्वर सूची है, इसलिए यह आपके सर्वर को हटा सकता है।
मैं रेट लिमिटिंग के कुछ रूप का भी उपयोग करूँगा, जैसा कि दूसरों ने सुझाव दिया है, या तो आवेदन स्तर पर (यानी संदेश का आकार, प्रति ग्राहक सीमाओं के लिए अनुरोध) या फ़ायरवॉल स्तर (अन्य उत्तर देखें), लेकिन फिर, आप करने जा रहे हैं यह सुनिश्चित करने के लिए कुछ विश्लेषण करना होगा कि आप वैध यातायात को नहीं मार रहे हैं।
एक घुसपैठ का पता लगाने वाली प्रणाली जिसे ट्यून और / या प्रशिक्षित किया गया है (फिर से, यहां एक आधार रेखा की आवश्यकता है) स्रोत या वॉल्यूम द्वारा समय के साथ असामान्य ट्रैफ़िक का पता लगाने में सक्षम होना चाहिए, लेकिन संभवतः गलत सूचनाओं को रोकने के लिए नियमित रूप से बच्चा सम्भालना / ट्यूनिंग / निगरानी करना होगा और / या देखें कि क्या यह वास्तव में हमलों को रोक रहा है।
दिन के अंत में, आपको आश्चर्य होगा कि क्या यह सब प्रयास इसके लायक है या यदि आपको सिर्फ यह आग्रह करना चाहिए कि सही काम किया गया है और यह पहली जगह में समस्या को समाप्त कर रहा है।