BIND 10 权威服务器是否容易受到 DNS 放大攻击?如果是,BIND 10 是否支持 RRL 和 DNS 抑制?我尝试搜索,但找不到任何好东西。
答案1
BIND 10 易受 DNS 放大攻击如果你配置它回答所有 DNS 请求,无论它们来自哪里或要到哪里。
DNS 放大攻击是由于 DNS(除非您确实想要一个开放的解析器)服务器配置不当造成的,而不是软件本身的漏洞。
阅读 blogoverflow 了解它的工作原理:http://security.blogoverflow.com/2013/04/about-the-recent-dns-amplification-attack-against-spamhaus-countermeasures-and-mitigation/
答案2
标准方法是不允许来自网络外部的递归请求。bind 10 仍应支持该功能。记录被拒绝的请求可能有助于您确定是否存在放大攻击。
我用fail2ban它来暂时封锁参与放大攻击的 IP 地址。
发行说明应涵盖所有新增或更改的功能。快速浏览一下ISC 绑定 10 页表明可能存在且只有权威的配置,该配置应该相对能够抵抗参与放大攻击。
编辑:放大攻击利用缓存名称服务器的必要行为将大量数据导向目标站点。除了少数例外(OpenDNS、Google DNS 等),缓存数据不应提供给网络外的用户。最佳做法是为内部和外部客户端使用分区或单独的 DNS 服务器。
根据您的网络配置,您的 DNS 缓存服务器可用于在您的网络内发起有限放大攻击。网络段上的 Bogon 过滤可以限制此功能。