DNS Flood

[Features]

Здравейте момчета. В последните дни при мен стана лудница от симетрични DDoS атаки по DNS. Атаката е на входа и е насочена към port 53 UDP (domain name system). Маршрутизатора е Mikrotik RB751U-2HnD. Във Firewall-а с времето съм добавил доста правила по сигурността и съм запушил по-явните и не чак толкова явни места, които могат да бъдат потенциално опасни и да доведат до пробив или отказ от услуга. Принципно като пиша някакво правило, гледам да го направя така, че да дропна атакуващия и да го хвана в блек-лист. Не обичам да си отрязвам главата с глобално затваряне на порт или или протокол или ако го правя е в случай, че го сметна за не необходим или по-опасен отколкото полезен . Тези дни действах по същия начин, като не спрях целия входящ трафик по port 53 UDP, а написах едно правило от пет реда и всички външни заявки до 53 UDP с над определен лимит на конекцийте ги дропвам и хващам в лист (За три дни съм събрал около 3500 адреса). Разкарах публичните DNS-и като 8.8.8.8 и 8.8.4.4 и оставих само два вивакомски, защото имам чувството, че атаката дойде именно заради публичните DNS който използвахме. За сега, това работи и свързаността е добре, маршрутизатора се справя отлично, макар че връща за проверка стотици конекций и си държи нормалните 2-3 до 10% процента натоварване на CPU-то. Тъй като не мога да нарека себе си гуру или много разбиращ от Mikrotik, моля, ако някой е бил подложен на подобна атака, да сподели малко опит и работещи правила, които ще бъдат полезни на всички ни в бъдеще. Ще е интересно да събеседваме и около тази проказа DDoS във всичките и разновидности.

[etg]

Като начало - какво имаш предвид под конекция при UDP?

[MitkoS]

Това би трябвало да свърши работа (, но не знам как точно се реализира в Mikrotik) - забрана за рисолв на DNS-заявки дошли по външния интерфейс.

Написал си, че не искаш да го правиш, но не са много ситуациите при които има нужда от това (рисолв на DNS-заявки дошло по външния интерфейс), а ти нищо не споменаваш по въпроса за такава нужда.

[Features]

Прав си да ми зададеш този въпрос, защото съм написал глупост. При UDP сесии няма - заявки. Спрях правилата за две мин, за да покажа нагледно какво се получава.


- - - - - - - - - -

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop

Това трябва да спре целия входящ трафик по 53 UDP в микротик. Не съм го спрял, защото това е малка служебна мрежа от 20-30 машини и не знам дали някой софтуер няма да потърси входящи заявки по DNS след време.

[MitkoS]

Бих добавил, че в повечето случаи даже е задължително да направиш забрана за рисолв на DNS-заявки по външния интерфейс, за да не пострада някой друг от DNS reflection атака.

"Малка служебна мрежа от 20-30 машини", няма нужда от рисолв на DNS-заявки по външния интерфейс - при такава мрежа значимите собствени Интернет-имена е по-добре да се хостват от външен доставчик високо в Интернет йерархията (струва 5лв годишно - например в host.bg), като допълнително се дефинират/дублират и във вътрешния DNS за вътрешната консумация.

ПП.
По-горе под "хостване" на Интернет-име имам предвид само и единствено неговото DNS-управление, а не неговата годишна регистрация. Много често услугата "регистрация и годишна такса на Интернет-име", може като бонус да включва и DNS-управление. В текста по-горе, имам предвид само "DNS-управление/DNS-администрация"

[etg]

@Features
Този ред си е задължителен за микротика, ДНС-ът му е прекалено елементарен, така че може да го защитиш само по този начин. Ако ти трябва ДНС за обслужване на домейн потърси друго решение, както ти е написал MitkoS примерно, или си пусни ДНС на някой компютър вътре в мрежата. И пак както ти е написал MitkoS, без филтриране рано или късно ще те включат в някоя атака, в това може да си сигурен, а може би вече си включен