(转载:www.idcew.com) 就好像数据中心和服务器管理员在他们的安装安全问题上没有足够的担心一样,另一个严重的问题也浮出了水面。这是一种DDoS攻击,被称为“无意义名称”攻击,大多数服务器都面临风险,因为它的目标是名称服务器。
它是如何工作的
无意义名称攻击的明显目标是针对DNS区域的权威名称服务器,通过来自递归名称服务器的请求来压倒它们。这个过程是这样的:
机器人(或机器人网络)在要查询的目标区域中创建大量无意义域。如果正在对域发起攻击。例如,它将生成abcde.domain。区,fghij.domain。区,klmno.domain。然后将所有的查询发送到递归名称服务器。 递归名称服务器将像它们的工作一样,将每个查询发送到域的权威名称服务器。然后,它自然地向递归服务器返回一个NXDOMAIN响应(意味着被查询的名称不存在)。 如果查询的速度足够快,最终权威的名称服务器将停止回答它们。这反过来又会阻塞发出请求的递归名称服务器,并耗尽查询槽。此时,递归服务器将拒绝所有新的查询,甚至是合法的查询。实际上,服务器完全停止解析客户机请求。 即使目标是攻击权威名称服务器,涉及的所有递归名称服务器也会受到攻击。
处理无意义的名字攻击
应对这种新威胁的第一步是要知道要寻找什么。当递归名称服务器开始发送消息“不再递归客户端;对于syslog,您应该立即怀疑缺少自由递归查询插槽是由于名称无意义造成的。这些syslog消息将包含进行查询的IP地址,因此如果它们看起来可疑,您可以使用访问控制列表快速排除它们。
如果你对ip不确定,事情就会变得更复杂。最佳方法是使用BIND中的RPZ(响应策略区域)函数告诉名称服务器不要发送任何涉及受影响区域的查询。你可以建立一个这样的规则:
* .domain.zone.the.rpz。CNAME中的区域。
然后将BIND中的qname-wait-recurse选项设置为“no”。之后,任何人都可以在域中查询域。zone将自动接收来自递归服务器的NXDOMAIN响应,而权威名称服务器将永远不会参与其中。
对于不运行BIND(或尚未更新到BIND 9.1)的递归名称服务器,最好的选择是创建一个空的“虚拟”区域来替代实际的domain.zone。将其标记为专区的权威名称服务器,任何查询都将获得NXDOMAIN响应。
当然,这些都是暂时的变化;一旦攻击结束,您需要将事情恢复到原来的状态,以便恢复域解析。
在不久的将来,Internet Systems Consortium计划发布两个新的绑定名称服务器配置选项,这将自动限制由无意义名称攻击创建的查询。在此之前,上述修复应该可以限制您的姓名服务器可能面临的问题。 (转载:www.idcew.com) |