10月 26, 2012

DNSアタックとiptablesフィルタ

最近DNSに対してのアタックが見られる。
トランジット外側からDNSクエリを網内に要求。
その要求を網内端末にて応答、キャッシュサーバが応答して負荷上昇。
要求してくる内容は
ripe.net ANY のクエリ
60byte程度の要求が400byteの応答データに増加する。
DDoS攻撃で有名なクエリはisc.orgで、
こいつは60byte程度の要求を1500byte程度の応答データに増幅させる。

対応策は
1.トランジット側でおかしい要求を出すIPをフィルタする
2.サーバ側で特定の要求を拒否する

1.でフィルタしてしまえば網内端末に要求が飛ぶこともなく
事象を収束させることができるが、
IPを変えられてしまうとその都度フィルタの架け替えを実施する必要がある。

2.の場合サーバ側でDNSクエリを判別してフィルタさせることで特定のクエリに応答させなくすることが可能。
iptables -A INPUT -p udp -m string –hex-string “|03697363036f72670000ff|” –algo bm –to 65535 -j DROP

上記ルールは「isc.org ANY」に対応。hex-stringの後に記載した16進の羅列が「isc.org ANY」に対応する。
この文字列はwireshark等のパケット解析ツールを使ってパケットの中身を見ることで自在に変更可能。

Leave a comment

JVN [Japan Vulnerability Notes]

Categoly

Posted dates

2019年11月
« 8月    
 12
3456789
10111213141516
17181920212223
24252627282930

NEC Direct(NECダイレクト)

NEC Direct(NECダイレクト)