কম্পিউটার সুরক্ষায় আমার সবচেয়ে শক্তিশালী ব্যাকগ্রাউন্ড নেই, তবে গতকাল আমার এক কোম্পানির সার্ভারটি আমাদের হোস্ট দ্বারা বন্ধ করে দেওয়া হয়েছিল।

এটি একটি সার্ভারকে একটি সর্বজনীন আইপ বরাদ্দ করেছে যেখানে আমি ওয়েবসাইট এবং API গুলি সহ বেশ কয়েকটি ওয়েব-পরিষেবা অ্যাপ্লিকেশন হোস্ট করি। আমাকে জানানো হয়েছিল যে আমার সার্ভারটি "একটি ওপেন ডিএনএস রিসলভার চালাচ্ছে যা কোনও বহিরাগত সত্তায় পরিষেবা আক্রমণকে অস্বীকার করার জন্য ব্যবহার করা হয়।"

এটার মানে কি? এই আক্রমণটি কীভাবে কাজ করে? এবং আমি কীভাবে আমার সিস্টেমকে এরকম অপব্যবহার থেকে রক্ষা করতে পারি?

আমার নির্দিষ্ট ক্ষেত্রে, প্রশ্নে থাকা সার্ভারটি উইন্ডোজ সার্ভার ২০১২-এ রয়েছে এবং এটি একটি অ্যাক্টিভ ডিরেক্টরি ডোমেনের জন্য ডিএনএস পরিবেশন করছে।

একটি "ওপেন ডিএনএস রেজোলভার" হ'ল একটি ডিএনএস সার্ভার যা ইন্টারনেটে যে কারও জন্য পুনরাবৃত্ত ডিএনএস লুকআপ সমাধান করতে ইচ্ছুক। এটি অনেকটা একটি উন্মুক্ত এসএমটিপি রিলের মতো, এতে প্রমাণীকরণের সহজ অভাব দূষিত তৃতীয় পক্ষগুলিকে আপনার অনিরাপদ সরঞ্জাম ব্যবহার করে তাদের পেডগুলি প্রচার করতে দেয়। খোলা এসএমটিপি রিলে দিয়ে, সমস্যাটি হ'ল তারা স্প্যাম ফরোয়ার্ড করে। ওপেন ডিএনএস রিসোলভারগুলির সাথে, সমস্যাটি হ'ল তারা কোনও ডিএনএস এমপ্লিফিকেশন অ্যাটাক হিসাবে পরিচিত পরিষেবা আক্রমণটিকে অস্বীকার করার অনুমতি দেয়।

এই আক্রমণটি যেভাবে কাজ করে তা বেশ সহজ - কারণ আপনার সার্ভারটি কারও কাছ থেকে পুনরাবৃত্ত ডিএনএস কোয়েরিগুলি সমাধান করবে, একজন আক্রমণকারী আপনার সার্ভারকে একটি পুনরাবৃত্ত ডিএনএস ক্যোয়ারী প্রেরণ করে ডিডিওএসে অংশ নিতে পারে যা প্রচুর পরিমাণে ডেটা ফেরত দেবে, এর চেয়ে অনেক বড় মূল ডিএনএস অনুরোধ প্যাকেট। তাদের আইপি অ্যাড্রেসটি স্পোচিং (নকল) করে, তারা এই অতিরিক্ত ট্র্যাফিকটিকে তাদের নিজের পরিবর্তে তাদের শিকারের কম্পিউটারগুলিতে পরিচালিত করবে এবং অবশ্যই তারা আপনার সার্ভারে এবং অন্যান্য কোনও ওপেন ডিএনএসের সাথে যতটা সম্ভব তত দ্রুত অনুরোধ করবে'll সমাধানকারীরা তারা খুঁজে পেতে পারে। এই পদ্ধতিতে, অপেক্ষাকৃত ছোট পাইপযুক্ত যে কেউ তাদের ক্ষতিগ্রস্থদের দিকে ট্র্যাফিকের আরও বৃহত্তর দিকে পরিচালিত করতে তাদের পাইপের সমস্ত ব্যান্ডউইথ ব্যবহার করে পরিষেবা আক্রমণকে অস্বীকারকে "প্রশস্ত" করতে পারেন।

আর্টটেকনিকা স্প্যামহাউসের বিরুদ্ধে সাম্প্রতিক ডিএনএস এম্প্লিফিকেশন ডিডিওস আক্রমণ সম্পর্কে একটি শালীন নিবন্ধ করেছিলেন এবং বেসিকগুলি (এবং পরিবর্ধনের একটি ভাল ভিজ্যুয়াল) পেতে দ্রুত পড়ার জন্য মূল্যবান।

আপনার সিস্টেমকে এ জাতীয় অত্যাচার থেকে রক্ষা করার সহজ উপায় হ'ল আপনার স্থানীয় সাবনেটগুলির জন্য আপনার সার্ভারটি পুনরাবৃত্ত অনুসন্ধানগুলি সম্পাদন করবে limit (আপনি অবশ্যই কোন ডিএনএস সার্ভারটি ব্যবহার করছেন তার উপর নির্ভর করে))

উদাহরণস্বরূপ, যদি আমি 9 BIND ব্যবহার করতাম এবং কেবল বাইরের ঠিকানাগুলি থেকে DNS পুনরাবৃত্তি রোধ করতে চাইতাম, তবে আমি আমার কনফিগারেশনে নিম্নলিখিত কোডটি ব্যবহার করব:

options {
    directory "/var/named/master";
    allow-recursion { 127.0.0.1; 10.0.0.0/8; 192.168.0.0/16; 172.16.0.0/12; };

কোডটির লাইনটি আমার বিআইএনএনডি সার্ভারকে কেবল স্থানীয় লুপব্যাক ঠিকানার জন্য পুনরাবৃত্ত ডিএনএস অনুরোধগুলি প্রক্রিয়া করতে বলে (যা আমি অনুমান করি / আমি স্থানীয় লুপব্যাক ব্লক, পুরো / 8) এবং 3 ব্যক্তিগত আইপিভি 4 ঠিকানা স্পেসে সেট করতে পারি।

উইন্ডোজ সার্ভার ২০১২-এর জন্য, যা আপনি বলছেন যে আপনি ব্যবহার করছেন, আপনার নীচের বিকল্পগুলি রয়েছে।

1. আপনার আইআইএস সার্ভার থেকে আপনার ডিএনএস সার্ভারটি আলাদা করুন।

• কমপক্ষে নিখুঁত বিশ্বে, আইআইএসের মতো একই বাক্সে আপনাকে ডিএনএস চালানোর দরকার নেই।
  • কোনও অভ্যন্তরীণ বাক্সে ডিএনএস রাখুন যা নেটেড নয়, যাতে বাইরের বিশ্ব এটি পেতে না পারে এবং আইআইএসকে বাইরের মুখোমুখি বাক্সে থাকতে দেয় যা পৃথিবীর বাকি অংশগুলি পেতে পারে। আপনার আইআইএস সার্ভার থেকে আপনার ডিএনএস সার্ভারে বেছে বেছে অ্যাক্সেসের অনুমতি দেওয়ার জন্য আপনি দ্বৈত-হোমিং বা ফায়ারওয়াল বিধিগুলি ব্যবহার করতে পারেন।

২. উইন্ডোজ ফায়ারওয়াল বিল্ট ইন ফায়ারওয়াল দিয়ে বাহ্যিক ডিএনএস অনুরোধগুলি অবরুদ্ধ করুন।

• আমার অবাক করে দেওয়ার জন্য, উইন্ডোজ ডিএনএস আপনাকে যে ঠিকানাগুলিতে পুনরাবৃত্ত ডিএনএস অনুরোধগুলি সম্মানিত তা সীমাবদ্ধ করার অনুমতি দেয় না, তাই এটি মাইক্রোসফ্ট দ্বারা প্রস্তাবিত পদ্ধতিটি।
• 
  • ডিএনএস নিয়মগুলি (টিসিপি এবং ইউডিপি) নির্বাচন করুন, Remote IP addressবিভাগে যান এবং আপনার ল্যানে ব্যবহারের সাবনেটগুলি যুক্ত করুন, সেই সাথে সার্ভারগুলির যে কোনও পাবলিক-ফেসিং আইপি ঠিকানাগুলি সক্রিয় ডিরেক্টরিতে অ্যাক্সেস প্রয়োজন। BIND উদাহরণ হিসাবে, IPv4 ব্যক্তিগত ঠিকানা স্পেস 127.0.0.0/8 10.0.0.0/8 192.168.0.0/16এবং 172.16.0.0/12।

৩. পুনরাবৃত্তি অক্ষম করুন ।

• এটি আপনার পরিবেশের উপর কী প্রভাব ফেলবে আমি সত্যই তা নিশ্চিত নই, যেহেতু আপনি সত্যিই বলেননি যে আপনার পরিবেশে কীভাবে ডিএনএস এবং এডি কনফিগার করা হয়েছে, এবং তদনুসারে এটিই শেষ বিকল্প।
• 
  1. ডিএনএস ম্যানেজার খুলুন।
  2. কনসোল ট্রিতে প্রযোজ্য ডিএনএস সার্ভারে ডান ক্লিক করুন, তারপরে বৈশিষ্ট্যগুলি ক্লিক করুন।
  3. কোথায়?
  4. ডিএনএস / প্রযোজ্য ডিএনএস সার্ভার
  5. উন্নত ট্যাবে ক্লিক করুন Click
  6. সার্ভার বিকল্পগুলিতে, পুনরাবৃত্তি অক্ষম করুন চেক বাক্সটি নির্বাচন করুন এবং তারপরে ওকে ক্লিক করুন।
     • যেহেতু আমাদের একটি বহু-বন পরিবেশ রয়েছে, এবং এটি কাজ করার জন্য শর্তসাপেক্ষ ফরওয়ার্ডার ব্যবহার করে, আমি সেই বাক্সটি যাচ্ছি না। আপনারও বিবেচনা করার জন্য কিছু হতে পারে।