ডিএনএস সার্ভারগুলিতে বিস্তৃত প্রতিবিম্বিত আক্রমণ


11

শব্দটি Amplified reflected attackআমার কাছে নতুন এবং এটি সম্পর্কে আমার কয়েকটি প্রশ্ন রয়েছে।

শুনেছি এটি বেশিরভাগ ডিএনএস সার্ভারের সাথেই ঘটে - এটি কি সত্য?
আপনি কীভাবে এর বিরুদ্ধে রক্ষা করবেন?
আপনার সার্ভারগুলি এই ধরনের আক্রমণে ব্যবহার করা যেতে পারে কীভাবে আপনি কীভাবে জানেন - এটি কি কোনও কনফিগারেশন সমস্যা?

উত্তর:


22

প্রথমত, আপনার শিরোনামের পরামর্শ অনুসারে এই ধরণের আক্রমণ (মূলত) ডিএনএসকে লক্ষ্য করে নয়। এটি অবশ্যই ডিএনএস সার্ভারগুলিতে কিছু অতিরিক্ত লোড তৈরি করবে তবে মূল উদ্দেশ্য অন্য কাউকে ডিডোএস করা। খারাপ সার্ভার কনফিগারেশন এটি আরও খারাপ করতে পারে তবে শেষ পর্যন্ত এই সমস্যাটি ডিএনএস এবং ইউডিপি ডিজাইনের অন্তর্নিহিত এবং বাস্তবে কোনও স্টেটলেস যোগাযোগ প্রোটোকল।

এটি মূলত এটির মতো কাজ করে: একটি আক্রমণকারী একটি (ডিএনএস) সার্ভারে সাধারণ (ডিএনএস) কোয়েরি প্রেরণ করে। এই প্রশ্নগুলি এমনভাবে হাজির হয়েছে যাতে তারা লক্ষ্যগুলি সিস্টেম থেকে উদ্ভূত হয়েছিল। ডিএনএস সার্ভার এখন জিজ্ঞাসার জবাব দেয়, উত্তরটিকে তার কথিত উত্সে ফেরত পাঠিয়েছে - ভুক্তভোগী। এ কারণেই এটিকে প্রতিবিম্ব আক্রমণ বলে।

এটি সম্ভব হয়েছে কারণ আপনি স্টেটলেস যোগাযোগের উত্সটি (ইউডিপির চেয়ে ডিএনএস হিসাবে) যাচাই করতে পারেন যতটা আপনি পোস্টকার্ডে প্রেরকের ঠিকানায় বিশ্বাস করতে পারেন। সার্ভারের কাছে কোনও ক্যোয়ারী বৈধ বা এই জাতীয় আক্রমণটির অংশ কিনা তা ঠিক করার কোনও উপায় নেই। ডিএনএস এখানে সর্বাধিক জনপ্রিয় প্রোটোকল কারণ এর চারপাশে প্রচুর এবং প্রচুর সার্ভার রয়েছে এবং এটি ব্যবহার করতে আপনার খুব বেশি প্রযুক্তিগত অন্তর্দৃষ্টি বা বিশেষ সরঞ্জামের প্রয়োজন নেই।

জিনিসগুলিকে আরও খারাপ করতে (এবং আক্রমণাত্মকভাবে কার্যকর), পরিবর্ধনের অংশটি দেখুন। আক্রমণকারীর ট্র্যাফিক যদি আকারের আকারের ট্রাফিকের সমান হয় তবে এটি খুব বেশি ক্ষতি হবে না। আক্রমণকারীর একমাত্র উপকারটি হ'ল তার ঠিকানাটি ডিএনএস সার্ভারের আড়ালে লুকানো থাকে। তিনি প্রেরকের ঠিকানাটি সরাসরি জাল করতে পারেন, ডিএনএস দিয়ে পুনরায় রুট করার প্রয়োজন হবে না। কিন্তু ডিএনএস উত্তর দেয় এবং ডিএনএস এখানে কেন এত জনপ্রিয় তা অন্য একটি বিষয় , প্রশ্নের চেয়ে অনেক বড় হতে পারে । আপনি ব্যবহৃত সঠিক প্রশ্নের উপর নির্ভর করে এর উপর বিবিধ সংখ্যা খুঁজে পেতে পারেন, তবে সার্ভারটি পুনরাবৃত্ত অনুসন্ধানগুলি করার জন্য যথেষ্ট বন্ধুত্বপূর্ণ হলে এটি 1:60 পর্যন্ত যেতে পারেতোমার জন্য. সুতরাং প্রচুর দূষিত ট্র্যাফিক তৈরি করতে আক্রমণকারীটির নিয়ন্ত্রণে অনেকগুলি মেশিনের প্রয়োজন হয় না।

যেহেতু আপনি সহজেই পাবলিক ইন্টারনেটে কয়েক হাজার এবং কয়েক হাজার "ওপেন" ডিএনএস সার্ভারটি খুঁজে পেতে পারেন, তত দ্রুত গণিতটি করতে পারেন যে আক্রমণকারী আক্রমণাত্মক কতটা কাজ করতে পারে যদি সে জানে যে প্রতিটি ওপেন ডিএনএস সার্ভার তার প্রশ্নের উত্তরগুলি ষাটগুণ লক্ষ্যবস্তুতে প্রতিবিম্বিত করবে। আমি প্রথমদিকে যেমন বলেছিলাম, এটিকে প্রতিরোধের পক্ষে সত্যিই ভাল কোনও উপায় নেই। স্বাভাবিকভাবেই অনেকগুলি ডিএনএস সার্ভার সকলের জন্য উন্মুক্ত থাকে যখন তা কনফিগারেশনের কারণে হওয়া উচিত নয়। তবে অনেকগুলি ওপেন সার্ভার রয়েছে যা ওপেন হতে হবে, কারণ ঠিক তাদের উদ্দেশ্য।

যদিও আপনি বলতে পারবেন না যে কোনও অনুরোধটি আক্রমণটির অংশ কিনা বা আপনার সার্ভারটি আর চালনা না করার একমাত্র বিকল্প নয়। আপনি রেট সীমাবদ্ধকরণ এবং অন্যান্য খেলনাগুলিতে ঝাঁকুনি দিতে পারেন তবে আপনি এ থেকে সম্পূর্ণ মুক্তি পেতে পারবেন না। আপনি যদি মজাদার জন্য ডিএনএস সরবরাহ করছেন তবে আপনি অনুরোধগুলির উত্স আইপি কালো তালিকাভুক্ত করতে পারেন। তবে আপনি যদি বৃহত্তর স্কেলে থাকেন তবে এটি ক্ষতিগ্রস্থটিকে আরও বেশি ক্ষতি করে। মনে রাখবেন, আপনি ডিএনএস সার্ভারে যা দেখতে পাচ্ছেন তা হ'ল ভুক্তভোগীর ঠিকানা। আপনার সরবরাহকারীর ডিএনএসের মাধ্যমে আপনার সংস্থার আক্রমণ চলছে বলে ধারণা করুন এবং আপনার সরবরাহকারী আপনার সংস্থার জন্য ডিএনএস পরিষেবা কেটে নেওয়ার সিদ্ধান্ত নেন। আক্রমণকারীটি অস্বীকৃত-পরিষেবা সম্পর্কিত বাজিলিয়ন বোনাস পয়েন্ট হিসাবে এটি স্কোর করতে পারে ।

যাইহোক, এই আক্রমণগুলি সারা দিন এবং রাতে ঘটে এবং এগুলিকে ইন্টারনেটের "পটভূমি শব্দ" হিসাবে বিবেচনা করা হয়। আপনি যদি কোনও সর্বজনীন (পুনরাবৃত্ত) ডিএনএস সার্ভার সেট আপ করেন তবে আপনি এলোমেলো আক্রমণে অংশ নেওয়ার আগে বেশি দিন লাগবে না। অবশ্যই কখনও কখনও জিনিসগুলি সত্যই খারাপ হয়ে যায় যখন বড় অবকাঠামোগুলি (এমনকি ডিএনএস রুট সার্ভারগুলির মতো) প্রশস্তকরণের জন্য অপব্যবহার করা হয় তবে সেই ক্ষেত্রে আক্রমণটি "সাধারণ" স্তরে না যাওয়া পর্যন্ত প্র্যাকটিভ কাউন্টারমেজারগুলি পার্সোনেল দ্বারা নেওয়া হয়।


এতক্ষণে শিক্ষাদানের উপর। আপনার প্রশ্নের উত্তর দিতে, শেষ পর্যন্ত:

আপনি জানেন যে আপনার সার্ভারটি যদি কোনও বাধা ছাড়াই প্রশ্নের উত্তর দেয় তবে এটি দুর্বল। সময়কাল। যদি আপনি পুনরাবৃত্ত অনুসন্ধানগুলি পরিবেশন করে থাকেন তবে আপনার সার্ভার আক্রমণকারীর জন্য উল্লিখিত 1:60 অনুপাত তৈরি করতে পারে। যদি এটি কেবল পুনঃ-পুনরুত্থিত পরিবেশন করে তবে এটি খারাপ নয়, তবুও ...

তাই ...

  • আপনার সত্যিকারের কোনও সর্বজনীন ডিএনএস সার্ভার চালানো দরকার তা নিশ্চিত করুন
  • আপনার যদি তা করতে হয় তবে বিআইএনএনডি allow-recursionএবং allow-queryনির্দেশিকা একবার দেখুন
  • যদি আপনার ডিএনএস সার্ভারটি আপনার নিজের অঞ্চলের পক্ষে অনুমোদনযোগ্য হবে, তবে পুনরুক্তির কোনও প্রয়োজন allow-recursionনেই, " কোনওটি নয় " তে সেট করুন ;
  • আপনি যদি অন্য ডোমেনগুলির জন্য একটি রেজলভার চালাতে চান তবে অনুমোদিত ব্যবহারকারীদের অনুসন্ধান এবং পুনরাবৃত্ত অনুসন্ধানগুলির জন্য সীমাবদ্ধ করুন। আপনি উল্লিখিত নির্দেশিকায় আইপি ঠিকানা, নেটওয়ার্ক বা অ্যাক্সেস তালিকার সংজ্ঞা দিতে পারেন
  • কেবল বিআইএনএনডিতে নয়, সিস্টেম স্তরেও ডিএনএস ট্র্যাফিক সীমাবদ্ধ করার বিষয়ে চিন্তা করুন। খুব সাধারণ উদাহরণ হিসাবে, এই iptables নিয়মগুলি প্রতিটি আইপি ঠিকানা থেকে প্রতি মিনিটে 10 টিরও বেশি প্রশ্নের মঞ্জুরি দেয় না:

iptables -A INPUT -p udp --dport 53 --set --name dnslimit
iptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnslimit -j DROP

এখন, এই বিষয়গুলি মাথায় রেখে আপনার যাওয়া উচিত। আপনার সার্ভারে এখনও এবং পরে দূষিত ট্র্যাফিক হতে পারে তবে পরিমাণে নয় যা আপনার শুভ রাতের ঘুমকে নেয়।


3
এটি সত্যিই ভাল উত্তর। এটা লেখার সময় দেবার জন্য ধন্যবাদ।
জামেব

1
@ মিকেজানসন সার্ভারফল্ট / প্রশ্নগুলি / 450099 - আপনার কী কী বিকল্প থাকতে পারে তা দেখার জন্য এই প্রশ্নটি একবার দেখুন (বিশেষত ভিক্সি এবং শ্যাইভারের বিআইএনডি প্যাচ )
দ্য

আরআরএল এখন বাঁধাই এবং অন্যান্য নেমসারভারগুলির একটি আদর্শ বৈশিষ্ট্য: kb.isc.org/article/AA-01000/189/…
প্যাট্রিক মেভিজেক

একই সার্ভারের অনুমোদনযোগ্য এবং পুনরাবৃত্ত হওয়া সাধারণভাবে ভুল। সেরা অভ্যাসগুলি এটিকে দুটি পৃথক প্রক্রিয়াতে বিভক্ত করার পরামর্শ দেয়।
প্যাট্রিক মেভিজেক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.