怎样确保你的DNS服务器免受挟制困扰

太多太多的DNS效劳器被恶意人士加以劫持，并用于实行DDoS攻打。在今天的文章中，咱们将共同探讨如何确保自身免受此类恶意行为的影响。

固然现在看来已经能够算是陈年旧事，但就在互联网刚刚诞生的约二十年前，咱们曾面临着一个巨大的难题：邮件效劳器太过友好。

简而言之，大多数邮件效劳器允许任何人停止接入，并将邮件发送给任何收件者。要实现这一切，咱们甚至不须要作为邮件效劳器的用户，或许只须要费一点小劲来将本人伪装成用户即可。

攻打者能够应用邮件效劳器的邮件SMTP接收端口(TCP端口25)来实现衔接，并模仿全部SMTP效劳器用于交换邮件的外部命令发送各类操作(经由telent、脚本或许别的程序)。如此一来，黑客将能够伪造电子邮件、宣称其来自邮件效劳器所托管的某位正当用户并将恣意邮件内容发送给恣意收件人。

垃圾邮件发送者会寻找这类“开放转发”效劳器，并将成千万甚至上亿封垃圾邮件发送到世界各地。全球技巧人员——以及邮件效劳器供应商——花了约二十年时光来强制要求所有始发邮件必须停止实际来源验证，且由认证用户所发出。

然而在多年之后，类似的开放转发问题又呈现在互联网领域的另一大基础性技巧傍边，即DNS。攻打者经常会应用配置不当的DNS效劳器向查问客户端发送无效IP地点——或许发送大量虚假流量以实行DDoS攻打。

应用DNS实行DDoS攻打

DDoS以及别的攻打者多年来始终在应用DNS实行他们的邪恶阴谋，但在过去几年傍边，这种状况呈现了愈演愈烈之势。

最近一段时光来，多数大规模DDoS攻打者开始频繁应用DNS“缩小”技巧。假如各人对其具体实现方法及背景信息感兴趣，能够查看US-CERT、互联网系统联盟以及CloudFlare上的相关资料(英文原文)。

最终，DNS效劳器供应商与协定开发商不得不采取对应措施，而这一切正如当年SMTP邮件供应商所作出的掩护努力一样。其中包含更理想的默许设置及新型防御机制。不外遗憾的是，DNS效劳器——固然它们看起来可能运转精良——仍然被人们所忽视，而且继续保留着攻打者不希望管理方发明的大量安全漏洞。

禁用开放转发DNS效劳器

每一家企业客户都能够轻松实现的掩护手段就是限定自身DNS效劳器对哪些以及来自谁的恳求做出呼应。对于外部DNS效劳器而言，咱们须要确保其只会针对来自外部计算机或许别的认证DNS效劳器的查问给出DNS呼应。

即使是在外部环境下，面向公众的DNS效劳器也不应该以无脑方法对所有恳求做出呼应。假如各人的DNS效劳器托管于*.example.com地点，那么绝对不会有正当用户在该域名之外停止域名地点查问。假如各人的DNS效劳器当前会对来自任何使用者的全部查问做出呼应，特别是来自恣意域名的恳求，那么这就是一台开放转发DNS效劳器——相信我，这绝不是什么好事。

为了确保咱们的DNS效劳器不被划归为开放转发一类，并对其停止严格锁定并保证其正当运作，请将其IP地点输入到以下各DNS开放转发检测效劳中停止安全性测试：

· Open Resolver Project

· Open DNS Resolver Check Site

· DNS Expertise – The Measurement Factory

· DNS Inspect

DNS呼应速度限度

作为防止自有DNS效劳器被用于DDoS攻打活动的最佳防御手段之一，咱们应当对其停止呼应速度限度(简称RRL)。RRL主要面向威望DNS效劳器(即那些应当对一个或许多个域名停止呼应的DNS效劳器)，且允许DNS管理员针对DNS呼应流量作出有效速度限度。尽管在默许情况下并未启用(但绝对应该被启用!)，咱们能够在BIND 9.9(及其后续版本)傍边找到RRL，其同时也作为微软即将推出的windows Server 2016 DNS效劳的组成部分。

假如各人的DNS效劳器并不支持RRL，则能够尝试应用别的备选方案实现同样的效果，包含使用防火墙速度过滤或许别的反DDoS效劳来掩护本人的DNS。

禁用向上转介呼应

对于大多数DNS来讲，当某台非递归威望DNS效劳器收到一条未经认证的域名查问时，该DNS效劳器会直接将该查问客户重新定向至顶级域名DNS效劳器(能够在文件托管‘root hints'傍边按照名称及IP地点停止排列)。这是一种较为礼貌的作法，类似于“嘿，我不知道答案是什么，但我建议你到那边试试运气。”

但事实上，这种方法相当于因为个人原因而毁掉各人的生活，而DNS缩小攻打的呈现也使得这种使用root hints的方法饱受诟病。BIND长久以来始终建议各人禁用这一向上转介行为。微软公司计划在其windows Server 2016傍边默许禁用向上转介机制，而各人也能够经由删除该root hints文件(具体位置为c:\windows\system32\DNS\cache.dns)的方法在别的Windows Server早期版本中禁用该功能。

检查所有DNS效劳

针对计算机及装备用于接收衔接的TCP或许UDP端口53停止扫描，从而检查所有运转有DNS效劳的计算机及装备并对其停止安全配置。一般来讲，各人会发明其中存在着一些运转有计划外DNS效劳器的装置及网络装备(例如无线路由器等)。

开门揖盗最为愚蠢

DNS协定自从1983年诞生以来就始终拥有精良的实际表现。它固然也经历过被滥用以及后续更新作为补救的状况，但总体而言，它仍然扮演着保障互联网正常运转的核心角色。不外咱们绝不能够对现有安全水平盲目自满，特别是在DNS方面。

在文章的最后，我要提醒各人千万别让本人的DNS效劳器重复当初公共邮件效劳器的覆辙——作为现代IT世界中的一员，咱们不可能再拿出十年时光来解决那些早就该停止修复的问题。

【编辑推荐】

转载自:https://netsecurity.51cto.com/art/201509/490988.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《怎样确保你的DNS服务器免受挟制困扰》
本文地址：https://www.zhiletu.com/archives-4627.html
关注公众号：