BIND10 DNS放大攻击

Question

BIND 10权威服务器是否容易受到DNS放大攻击？如果是，BIND 10是否支持RRL和DNS阻尼？我试着搜索，但能找到任何好东西。

Answer 1

如果您将BIND 10配置为响应所有DNS请求，则无论它们来自何处或将从何处来，它都容易受到DNS放大攻击的攻击。

DNS放大攻击是配置不当的DNS服务器(除非您真的想要一个开放的解析器)服务器的结果，而不是软件本身的漏洞。

阅读blogoverflow的工作原理：http://security.blogoverflow.com/2013/04/about-the-recent-dns-amplification-attack-against-spamhaus-countermeasures-and-mitigation/

Answer 2

标准的方法是不允许来自网络之外的递归请求。bind 10仍然支持这一点。记录拒绝的请求可能会帮助您确定是否接近放大攻击。

我使用fail2ban暂时阻止涉及放大攻击的IP地址。

发布说明应涵盖任何新的或更改的功能。快速扫描ISC绑定10页表明，可能存在和权威的唯一配置，应该是相对抵抗参与放大攻击。

编辑:放大攻击使用缓存名称服务器所需的行为将大量数据定向到目标站点。除少数例外(OpenDNS、Google等)您的网络之外的用户不应该使用缓存的数据。最佳实践是为内部和外部客户端使用拆分区域或单独的DNS服务器。

根据您的网络配置，您的DNS缓存服务器可以用于对您的网络发起有限的放大攻击。对网段的Bogon过滤会限制此功能。