比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
如何关闭开放的DNS解析器?
关键字：DNS解析器 应用安全
　　开放的DNS解析器并不过滤任何入站请求，可以接受来自任何源IP地址的查询。因此，开放的解析器可能很容易成为攻击者下手的目标。比如说，攻击者可以对开放的发动拒绝服务(DoS)攻击;或者更严重的是，发动分布式拒绝服务()攻击。这些攻击还可能结合IP欺诈手法，即所有应答包都将被引导到受害者被欺诈的IP地址。在另一种名为DNS放大攻击的攻击场景下，开放的DNS可能积极参与攻击。
　　据openresolverproject.org网站声称，除非确有必要，否则不建议运行开放的解析器。大多数公司只允许客户访问其DNS服务器。本教程将主要介绍如何配置一台DNS服务器，以便它不再是开放的DNS解析器，只应答有效的客户。
　　调整防火墙
　　由于DNS在UDP端口53上运行，系统管理员们可能试图允许端口53仅用于客户机IP地址访问，阻止的其他机器访问该端口。虽然这一招很管用，但还是会有一些问题。由于根服务器与DNS服务器之间的也使用端口53，我们不得不确保：在中还允许根服务器的IP地址可以使用UDP端口53。
　　下面提供了一个示例性的防火墙脚本。如果是生产环境下的服务器，就要确保规则符合你的需求，而且还要遵守贵公司的政策。
　　# vim firewall-script ## 现有的规则被清除，以便由一组新的规则开始 ## iptables -Fiptables -A INPUT -s A.A.A.A/X -p udp --dport 53 -j ACCEPTiptables -A INPUT -s B.B.B.B/Y -p udp --dport 53 -j ACCEPTiptables -A INPUT -s C.C.C.C/Z -p udp --dport 53 -j ACCEPTiptables -A INPUT -p udp --dport 53 -j DROP## 让规则具有持久性 ## service iptables save让脚本成为可执行脚本，并运行它。# chmod +x firewall-script# ./firewall-script
　　阻止递归查询
　　DNS查询可以主要分为两类：递归查询和迭代查询。如果是递归查询，服务器使用应答或错误回应客户机。如果服务器缓存中没有该应答，服务器就与根服务器进行联系，以获得授权服务器。服务器不断查询，直到它获得应答，或者直到查询超时。另一方面，如果是迭代查询，服务器只是将客户机转到能够处理的另一台服务器，因而导致在该服务器上面的处理工作量比较少。
　　我们可以控制允许递归查询的IP地址。我们只要改动配置文件/etc/named.conf，并添加/修改下列参数。
　　# vim /etc/named.conf## 我们定义访问控制列表(ACL)，以指定一个或多个源地址##acl customer-a{ A.A.A.A/X; };acl customer-b { B.B.B.B/Y; C.C.C.C/Z; };## 我们根据选项指令调用ACL ##options { directory "/var/named"; allow-recursion { customer-a; customer-b; };};
　　针对开放的解析器调整防火墙
　　如果你非得运行开放的解析器，那么我们建议你合理调整防火墙，以便服务器无法被不法分子钻空子。Smurfmonitor规则库(/smurfmonitor/dns-iptables-rules)提供了一组功能强大的iptables规则，这些规则可以用在开放的解析器中，比如阻止对参与DNS放大攻击的域提出查询请求。该规则库定期更新，我们强烈建议DNS服务器管理员们使用它。
　　总而言之，针对开放的DNS解析器的攻击很常见，对没有采用合理安全措施的DNS服务器而言更是如此。本教程演示了如何禁用开放的DNS服务器。我们还看到了iptables如何可以用来为开放的DNS服务器增添另一层安全机制。
[ 责任编辑：小石潭记 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
爱交朋友,爱聊天,爱听歌,另外对计算机有兴趣,研究linux服务器.
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(4271)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_081071',
blogTitle:'关闭 ssh 的反向解析',
blogAbstract:'
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}博客访问： 1592477
博文数量： 541
博客积分： 10071
博客等级： 上将
技术积分： 5980
注册时间：
APP发帖 享双倍积分
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
分类： 系统运维
近两年来发展态势也渐趋平缓，直至一个月前，欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击，让人们警醒，原来DDos攻击手段从未被攻击者忽略。
　　DDos攻击在今天看来并不新鲜，近两年来发展态势也渐趋平缓，直至一个月前，欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击，让人们警醒，原来DDos攻击手段从未被攻击者忽略。
史上最大DDoS攻击的本质与防范
　　这次超大流量DDos攻击的本质是什么?为什么会在今天出现?对此类攻击又该如何防范? 在防DDos攻击领域耕耘多年的安全公司Arbor近日对相关问题给出了答案。
　　问：迄今为止，这是最大的DDoS攻击吗?
　　答：是的，而且规模比以前大得多。之前报告的(和验证的)最大攻击约为100Gb/秒。
　　问：这是一种新型的DDoS攻击吗?
　　答：不是的。此次攻击属于DNS反射/放大攻击，而DNS反射/放大攻击已存在多年了。这种类型的攻击已被发现用来产生近年来互联网上看到的多个最大攻击。DNS 反射/放大攻击利用互联网上的DNS 基础结构来放大攻击能够产生的通信量。DNS 是用于主机名到IP 地址解析的互联网基础设施的重要组成部分。DNS 反射/放大攻击通过使用多个客户端肉机(bots僵尸肉机) 将查询发送到多个开放DNS 解析器中，从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间，使用了超过30K开放解析器)。
　　问：DNS反射/放大攻击是如何产生的?
　　答：两件事使这些类型的攻击成为可能：服务提供商网络缺乏入口过滤(允许流量从虚假源地址转发);因特网上开放 DNS 解析器的数目(可从任何 IP 地址进行查询响应)。
　　攻击者必须能够假冒目标受害人DNS 查询的源地址。所有组织应在他们网络的所有边界实施 BCP38/84 反欺骗。不幸的是，在今年的Arbor全球网络基础设施安全报告(包含2012年) 中，仅 56.9%的调查对象表示他们目前正在他们的网络边缘执行 BGP 38/84。
　　这种攻击的第二个关键组成部分是因特网上大量可用的开放DNS 解析器。目前在互联网上预计约有 2700 万开放DNS 解析器。
　　问：DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?
　　答：不，DNSSec 旨在确保DNS 查询答复的真实并且不被篡改。完全无助于DNS反射/放大攻击，相比没有DNSSec的情况，具有DNSSec的任何类型查询都会生成更显著的大量回复数据包，实施DNSSec 实际上意味着更易将攻击放大。
　　问：互联网基础设施几乎已经到了最大的100Gbps。如果是这样的话，Spamhaus是如何看到300 Gbps的流量的?
　　答：虽然 100Gb/秒是部署在生产网络中的最大单个物理链路速度，但是多个100Gb/秒物理链路结合在一起，就可以形成大容量逻辑链路。
　　问：如何缓解这类攻击?
　　答：如果大部分服务提供商在网络边界执行了BCP 38/84，同时还大幅减少互联网上开放的DNS 解析器的数目，那么就可以减小攻击者的能力，从而降低此类较大攻击的风险。
　　我们需要通过各种机制来缓解这些攻击。我们可通过IP 筛选器列表，黑/白名单，灵活僵尸去除，和/或攻击中合适的负载正则表达式对策来保护通过DNS 反射/放大攻击的最终目标服务器。S/RTBH(基于源的远程触发黑洞)和FlowSpec(特定流过滤)也可用于缓和攻击流量;然而，在应用这些机制时必须谨慎，因为这有可能阻止所有的流量通过利用反射攻击的开放的DNS递归器。在某些情况下，这可能是最佳行动方法。选择缓解机制和策略需依赖客观事实。
　　问：其他公司可从此次攻击得到哪些教训?
　　答：目前的DDoS 威胁很复杂，由大容量攻击和复杂应用层威胁构成。为了有效地解决我们目前看到的攻击，保护服务可用性，企业组织需要分层的 DDoS 防御。企业组织必须具有网络边界解决方案，以积极地处理隐秘、复杂的应用层威胁，还必须利用基于云的服务提供商提供DDoS 保护服务，以减轻大的攻击。理想的情况是这两个组件一起工作并提供完整、集成、自动化的保护系统，从而使其免受DDoS 威胁的影响。
　　企业组织还应知道，巨大的攻击可能超过服务提供商预设的智能缓解能力或导致服务提供商内部的通信流量堵塞 (或在其互连点)，而导致重大的附加损害(影响攻击者的非针对**)。在这些情况下，服务提供商可通过ACLs，S-RTBH，FlowSpec等来保护自己及客户。
　　对终端客户而言，应询问服务提供商具备多大的智能DDoS 缓解能力;服务提供商是否已在他们的网络上部署了BCP38/84 反欺骗系统;服务提供商是否部署了其它网络基础设施的当前最好实践，如Acl (iACLs) 基础设施和一般 TTL 安全机制 (GSTM) ;服务提供商是否已经在他们的网络上部署了 S/RTBH 或FlowSpec。
原文出自【比特网】，转载请保留原文链接：
阅读(1347) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。}