Complimenti! Hai trovato il Codice Promozionale: msw5. Utilizza il codice al tuo primo pagamento per ottenere lo sconto del 5%!
info@myserverweb.net
Area Clienti
MyServerWeb.net
  • Home
  • Cloud Hosting
    • Linux Budget
    • Linux Professional
    • Linux SSD
    • Windows Budget
    • Windows Professional
    • Cloud Hosting CMS
  • Rivenditori
    • Hosting Linux Reseller
    • Hosting Windows Reseller
    • Guadagna con Noi
  • Server
    • Cloud Server
    • Cloud CMS
    • Server Dedicati Entry
    • Server Dedicati Professional
    • Cloud Privato
    • Server SMTP
    • Certificati SSL
  • Domini
    • Estensioni classiche
    • Nuove estensioni
    • Certificati SSL
  • MyServerWeb
    • Contattaci
    • Datacenter 1
    • Cosa Dicono di Noi
  • Supporto
    • Migrazione Gratuita
    • Sicurezza
    • FAQ
  • Blog
    • News
    • Tutorial

Attacchi DDOS via server DNS

MyServerWeb.net > Tutorial > Tecniche > Attacchi DDOS via server DNS

Attacchi DDOS via server DNS

Feb 7, 2014adminTecniche0 Comment

Un attacco DDOS via server DNS viene fatto  semplicemente inviando un pacchetto di query con il mittente falsificato (cioè la vittima). Scegliendo opportunamente il server, potrebbe essere stato compromesso con l’inserimento di un grosso record TXT oppure semplicemente risponde anche quando non dovrebbe, si ottengono fattori di amplificazione anche fino a 100. Cioè con una query di circa 40 byte, la vittima si vede arrivare una risposta di anche 4000 byte!

L’attacco più grosso di questo tipo è probabilmente quello del Marzo 2013, nei confronti di Spamhaus.

Verificare la propria vulnerabilità:

Come si fa verificare se il proprio name server è vulnerabile? La cosa più semplice è dare questi due comandi da un nodo “esterno”:

      dig @<name_server_in_esame> . NS
      dig @<name_server_in_esame> google.com

In entrambi i casi, la risposta deve contenere “status: REFUSED” o “status: SERVFAIL“. Altre risposte indicano che il server DNS può essere utlizzato per questo tipo di attacchi.

In alternativa, il sito web di Measurement Factory contiene un buon numero di strumenti per verificare la configurazione dei server DNS.

Come difendersi:

La difesa, almeno per server non windows, è semplice: basta restringere le query ricorsive, quelle cioè di nodi non appartenenti al proprio dominio di competenza, ai propri client.

Analogamente per le risposte alla query dei root name server (fattore di amplificazione di circa 11).

Esempio di configurazione BIND

  • Si definisce una ACL in cui inserire tutte le reti dei propri client che hanno bisogno della ricorsione;
  • si abilita la ricorsione e l’utilizzo della cache solo alle reti di sopra
acl "internal" { localhost; localnets; 192.0.2.0/24; tutte_le_reti_interne; };
options {
           allow-query { any; };
           allow-recursion { internal; };
           allow-query-cache { internal; };
        };

Sotto trovate altre informazioni.

 

Il problema di Windows

Il server DNS di Microsoft non permette la ricorsione condizionata, quindi non è possibile permettere la ricorsione per le richieste della rete interna ed impedirla alle richieste dalla rete esterna.

Le soluzioni possibili per arginare i danni causati dai DDoS possono essere le seguenti:

 

– limitare la banda: se il DNS Windows deve necessariamene essere visibile dall’esterno, si può limitare, tramite firewall, la banda di rete che può utilizzare;
– utilizzare BIND per Windows, identico nella configurazione a quello per Unix;
– utilizzare due server DNS, uno Microsoft che risponda soltanto alle richieste delle macchine della propria rete e ad Active Directory, con la ricorsione abilitata, e un altro che risponda soltanto alle query esterne per le macchine del proprio dominio di competenza e con laricorsione disabilitata.
In questo caso le configurazioni potrebbero essere:
– server interno: nessun cambiamento, sia per il server sia per i client interni, che continuano ad usarlo come loro DNS;
– server esterno:
– ricorsione disabilitata;
– contiene le zone dei domini di cui si è autoritativi.

Ovviamente bisogna comunicare al server DNS di livello superiore l’indirizzo IP del server esterno. In alternativa, si modifica l’IP del server interno, anche su tutti i client, in modo che continuino a puntare a lui.

Fonte GARR-CERT 

 

Leave a Reply

Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

← Incremento Sicurezza Server Linux
Come modificare un conto in WHM – Myserverweb.net →
Pagamenti accettati:

icon-cirrus  icon-visa-electron  icon-mastercard icon-american-express icon-visa icon-maestro icon-paypal bonifico
Tutti i marchi sono di proprietà dei rispettivi possessori.

Chiarezza con il Cliente

  • Uso Accettabile del Servizio
  • Termini e Condizioni
  • SLA – Service Level Agreement
  • Privacy Policy

© Virtual Solution S.RL.. All Rights Reserved.
P.iva IT01480930393. I Prezzi Indicati sono Iva Esclusa.
  • Twitter
  • Facebook
  • Youtube
  • LinkedIn
Al fine di fornirti un servizio efficiente e personalizzato, il nostro sito utilizza i cookie. Se prosegui con la navigazione di questo sito acconsenti automaticamente all'utilizzo dei cookie.OkPer saperne di più