Nonesense Nama Serangan Apakah A Kepedulian Serius Untuk Sys Admin
- Category: DDoS
- Author: Admin
- Publisher:
Psychz Networks
- June 05,2015
Seakan pusat data dan administrator server tidak memiliki cukup khawatir ketika datang ke keamanan instalasi mereka, namun masalah serius lain telah muncul. Ini adalah jenis serangan DDoS yang disebut "Omong kosong Nama" serangan, dan kebanyakan server beresiko karena target server nama.
Bagaimana itu bekerja
Tujuan nyata dari serangan Nonsense Nama adalah untuk menargetkan server nama otoritatif untuk zona DNS, dengan menabrak mereka dengan permintaan dari server nama rekursif. Proses ini bekerja dengan cara ini:
- Sebuah bot (atau jaringan bot) menciptakan sejumlah besar domain omong kosong di zona target untuk query. Jika serangan itu diluncurkan melawan domain.zone, misalnya, akan menghasilkan abcde.domain.zone, fghij.domain.zone, klmno.domain.zone dan sebagainya, dan kemudian mengirim permintaan untuk semua dari mereka untuk server nama rekursif .
- Nama server rekursif akan, seperti pekerjaan mereka, mengirim setiap query ke server nama otoritatif untuk domain.zone, yang kemudian secara alami mengembalikan respon NXDOMAIN (yang berarti nama-nama yang bertanya tidak ada) ke server rekursif.
- Jika permintaan terus datang cukup cepat, akhirnya nama server otoritatif akan berhenti menjawab mereka. Yang pada gilirannya membuntu nama server rekursif membuat permintaan, dan mereka kehabisan slot query. Pada saat itu, server rekursif hanya akan menolak semua permintaan baru, bahkan yang sah. Akibatnya, server benar-benar berhenti dari menyelesaikan permintaan klien.
Bahkan jika tujuannya adalah untuk memukul server nama otoritatif, semua server nama rekursif terlibat korban juga.
Berurusan dengan serangan Nonsense Nama
Langkah pertama dalam menangani ancaman baru ini adalah untuk menyadari apa yang harus dicari. Ketika server nama rekursif mulai mengirimkan pesan "klien tidak lebih rekursif; kuota mencapai "ke syslog, Anda harus segera menduga bahwa kurangnya slot permintaan rekursif bebas adalah karena Nonsense Nama. Pesan-pesan syslog akan berisi alamat IP membuat query, jadi jika mereka terlihat mencurigakan Anda dapat dengan cepat mengecualikan mereka dengan menggunakan daftar kontrol akses.
Jika Anda tidak yakin tentang IP, hal-hal yang lebih rumit. Pendekatan terbaik adalah menggunakan RPZ (zona kebijakan respon) fungsi dalam BIND untuk memberitahu server nama tidak mengirimkan setiap pertanyaan yang melibatkan zona terpengaruh. Anda akan menyiapkan aturan yang terlihat seperti ini:
* .domain.zone.the.rpz.zone IN CNAME.
dan kemudian menetapkan pilihan QName-tunggu-recurse di BIND untuk "tidak." Setelah itu, siapa pun query domain di domain.zone otomatis akan menerima respon NXDOMAIN dari server rekursif, dan nama server otoritatif tidak akan pernah terlibat sama sekali .
Untuk nama server rekursif yang tidak menjalankan BIND (atau belum diperbarui untuk BIND 9.1), pilihan terbaik adalah untuk menciptakan kosong, "bodoh" zona untuk menggantikan domain.zone nyata. Label sebagai server nama otoritatif untuk zona, dan pertanyaan kemudian akan mendapatkan respon NXDOMAIN.
Tentu saja, ini adalah kedua perubahan sementara; setelah serangan itu berakhir, Anda harus mengatur hal-hal kembali cara mereka agar resolusi domain untuk melanjutkan.
Dalam waktu dekat, Konsorsium Sistem Internet berencana untuk merilis dua pilihan baru untuk nama BIND konfigurasi server, yang secara otomatis akan membatasi permintaan seperti yang dibuat oleh serangan Nama Omong kosong. Sampai saat itu, perbaikan atas harus membatasi omong kosong nama server Anda mungkin menghadapi.
