The Continuing Denial of Service Threat Posed by DNS Recursion (v2.0)
Sistem nama domain (DNS) adalah internetwork dari server nama dan protokol yang memungkinkan komputer untuk menyelesaikan nama host ke alamat IP. Biasanya disebut sebagai pekerja keras dari internet, ia menyediakan layanan resolusi nama untuk protokol inti lainnya. Permintaan DNS dapat berupa rekursif atau non-rekursif. Sebuah server DNS rekursif memproses nama domain permintaan pada nama domain yang tidak otoritatif (atau belum sudah cache) dengan query server nama root untuk alamat IP dari nama domain yang diminta. Nama server root maka akan "delegasi" query untuk domain tingkat atas yang sesuai (TLD) Server (.com, .org, .net, dll), yang pada gilirannya delegasi ke nameserver otoritatif untuk domain yang bersangkutan. Sebuah server non-rekursif hanya menyediakan informasi yang telah tersedia lokal. Namun, tergantung pada konfigurasi, mungkin juga kembali informasi delegasi untuk yang diminta domain.
Potensi Target dan Risiko
Setiap sistem dikonfigurasi untuk menyediakan DNS rekursi rentan terhadap serangan ini, termasuk
•Sistem Windows berjalan Domain Name Services
•Sistem Unix menjalankan Domain Name Services (BIND)
•Peralatan DNS (Infoblox, MiningWorks, BlueCat)
•Apple Macintosh OS X. Rekursi tidak dapat disaring dalam pelaksanaan DNS dikirimkan dengan Macintosh OS X 10.3.x
•Setiap perangkat yang mampu proxy DNS lookup rekursif, seperti tempat pelanggan
peralatan (CPE)
Selain itu, infrastruktur jaringan transportasi inbound ditempatkan pada risiko selama serangan itu karena volume lalu lintas yang dihasilkan. Sebuah serangan DNS rekursi pada dasarnya adalah amplifikasi serangan DoS. Oleh karena itu, serangan itu mempengaruhi beberapa poin dampak:
•Server DNS dikonfigurasi untuk menyediakan rekursi menerima permintaan palsu dan
menghasilkan balasan ke alamat palsu (yaitu, korban). Kinerja ini sistem mungkin terkena dampak negatif akan saat memproses permintaan palsu.
•Permintaan DNS palsu tersebut query server nama root, bagian dari internet yang kritis
infrastruktur, secara tidak langsung mempengaruhi mereka.
•Lalu lintas kemudian melintasi backbone internet, yang mempengaruhi penyedia layanan internet dan penyedia hulu hingga mencapai sasaran yang dituju.
•Target yang dituju menerima sejumlah besar balasan DNS masuk yang dapat mengkonsumsi semua sumber daya yang tersedia pada router, tergantung pada bandwidth yang tersedia. Bahkan jika lalu lintas berkurang melalui tingkat membatasi atau bandwidth throttling lainnya langkah-langkah, serangan itu bisa berdampak bisnis yang sah lainnya di sepanjang jalan dari serangan.
Ikuti Keamanan Praktik Terbaik untuk Konfigurasi DNS
Untuk informasi tambahan tentang praktik DNS aman, lihat "Resources" dari makalah ini.
Microsoft
Server 2003
Konsultasikan Microsoft Mengamankan DNS untuk Windows 2003
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/fea46d0d-2de7-4da0-9c6f-2bb0ae9ca7e9.mspx
Windows 2000
Konsultasikan Panduan Konfigurasi Windows 2000 DNS Aman:
http://nsa2.www.conxion.com/win2k/guides/w2k-6.pdf
Unix
The Berkeley internet Nama Domain (BIND) server didistribusikan dengan sebagian besar varian UNIX dan menyediakan layanan nama untuk banyak jaringan. BIND, bagaimanapun, memiliki sejumlah kerentanan yang dapat, antara lain, memungkinkan untuk dimanfaatkan untuk melancarkan serangan DoS. Team Cymru Secure BIND Template memberikan pedoman mengamankan BIND dari penyalahgunaan tersebut. Template tersedia di URL berikut:
http://www.cymru.com/Documents/secure-bind-template.html
Team Cymru juga menyediakan template untuk perlindungan perbatasan tambahan: Secure IOS Template dan Aman BGP Template.
Menonaktifkan DNS Rekursif
Microsoft
Server 2003
Informasi tentang cara menonaktifkan query rekursif pada server DNS dapat ditemukan di berikut URL:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/e1fe9dff-e87b-44ae-ac82-8e76d19d9c37.mspx
Instruksi diambil dari URL di atas telah disediakan di sini. Screen shot memiliki juga telah diberikan untuk ilustrasi.
Untuk menonaktifkan rekursi menggunakan antarmuka Windows:
•Buka DNS snap-in (Untuk membuka DNS snap-in, klik Mulai, arahkan ke Administratif
Alat, dan kemudian klik DNS).
•Pada pohon konsol, klik kanan server DNS yang berlaku, kemudian klik Properti:
• Klik tab Advanced.
•Dalam opsi Server, pilih rekursi Nonaktifkan (juga menonaktifkan forwarder) cek kotak, dan kemudian klik OK:
Untuk menonaktifkan rekursi menggunakan baris perintah:
• Pada prompt perintah, ketik perintah berikut, dan kemudian tekan ENTER: dnscmd ServerName / Config / NoRecursion {1 | 0}
Nilai Deskripsi
Nama server
Wajib. Menentukan nama host DNS dari server DNS. Anda juga dapat mengetik Internet Protocol (IP) alamat server DNS. Untuk menentukan server DNS pada komputer lokal, Anda juga dapat mengetik periode(.)./ NoRecursion Diperlukan. Menonaktifkan rekursi.{1 | 0}Wajib. Untuk menonaktifkan rekursi, tipe 1 (off). Untuk mengaktifkan rekursi, jenis 0 (pada). Secara default, rekursi adalahdiaktifkan.
Windows 2000
Informasi tentang cara menonaktifkan query rekursif pada server DNS dapat ditemukan di berikut URL:
http://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced / bantuan / sag_DNS_imp_ModifyServerDefaults.htm
Instruksi diambil dari URL di atas telah disediakan di sini.
Untuk menonaktifkan rekursi pada server DNS
• Open DNS (klik Mulai, arahkan ke Program, arahkan ke Alat administratif, dan kemudian klik DNS).
• Pada pohon konsol, klik server DNS yang berlaku.
• Pada menu Action, klik Properties.
• Klik tab Advanced.
• Dalam opsi Server, pilih kotak centang rekursi Nonaktifkan, dan kemudian klik OK.
Unix
Untuk informasi tentang menonaktifkan DNS rekursif pada sistem Unix, lihat BIND Team Cymru ini Template (disebutkan di atas). Dalam versi saat ini dari BIND, DNS rekursi diaktifkan secara default. Sistem Internet Consortium (ISC) telah setuju untuk menonaktifkan rekursi secara default pada rilis berikutnya dari BIND. Untuk versi terbaru BIND, petunjuk ini, diambil dari Template BIND Team Cymru ini (http://www.cymru.com/Documents/secure-bind-template.html) disediakan untuk menonaktifkan rekursi.
// Membuat tampilan untuk klien DNS eksternal. melihat "eksternal-in" di {
// Kami eksternal (tidak terpercaya) tampilan. Kami mengizinkan klien untuk mengakses
// Bagian dari pandangan ini. Kami tidak melakukan rekursi atau tembolok
// Akses untuk host menggunakan pandangan ini.
pertandingan-klien {apapun; };
rekursi tidak;
tambahan-dari-auth ada;
tambahan-dari-tembolok tidak ada;
// Tautan di zona kami
zona "." di {
ketik petunjuk;
mengajukan "db.cache";
};
zona "ournetwork.net" di {
ketik master;
mengajukan "master / db.ournetwork";
memungkinkan-query {
apa saja;
};
};
zona "8.8.8.in-addr.arpa" di {
ketik master;
mengajukan "master / db.8.8.8";
memungkinkan-query {
apa saja;
};
};
};
Menguji konfigurasi yang ada
Situs web Pengukuran Pabrik menyediakan pointer ke sejumlah alat pihak ketiga yang tersedia untuk memvalidasi DNS. Daftar tersedia di URL berikut:
http://dns.measurement-factory.com/tools/third-party-validation-tools/
Tidak ada komentar:
Posting Komentar