Re: Ataques a los servidores DNS
Rectifico mi anterior correo, no hab�leido que desarcas un ataque
de denegaci�Un saludo.
El Tuesday, 04 October del 2016 a las 09:17:47AM, Mauro Antivero escribi� Estimados, recientemente hemos estado sufriendo ataques a nuestros
> servidores DNS resolvers - no el autoritativo - (algún cliente con virus
> hace consultas excesivas). El servidor es recursivo y por supuesto tiene
> definidas las ACLs correspondientes para ser utilizado solo por los clientes
> que corresponden, el problema como decía es que varios de estos usuarios
> están infectados.
>
> El tema es que son tantas las consultas que hacen que el servidor "se viene
> abajo" (si me permiten la expresión tan poco técnica). Estoy viendo la
> documentación sobre "RRL - Rate Response Limit" en Bind pero no estoy 100%
> seguro si es esto lo que necesitamos. Vamos a poner un ejemplo muy vulgar si
> me permiten:
>
> - Un cliente normal hace una consulta promedio cada 1 segundo (como decía es
> un ejemplo cualquiera para que se entienda)
> - A partir de 10 consultas por segundo puede parecer sospechoso
> - Si supera las 20 consultas por segundo me gustaría que bien no le responda
> a más de 20 por segundo, haciendo efectivamente un "rate limit".
>
> Ese sería el comportamiento deseado, pero aún no estoy seguro si RRL en Bind
> sirve exactamente para esto. Según vi hasta ahora se recomienda el uso en
> servidores autoritativos para frenar ataques del tipo de amplificación, el
> cual no es nuestro caso, ya que se trata de un DNS resolver y el tipo de
> ataque es el que se conoce como "pseudo random", en el cual se consulta por
> un dominio válido pero con un subdominio inválido, como por ejemplo:
>
> gsdrt4.aws.com
> 2wdfdf.aws.com
> qqtedd.aws.com
>
> Cualquier idea que me puedan dar al respecto es bienvenida, mientras tanto
> sigo leyendo documentación.
>
> Por cierto, el servidor es bastante "potente" (Dell PowerEdge E3-1270, 3.4
> GHz, 4 núcleos físicos con HT y 8 GB RAM), por lo que sobredimensionarlo aún
> más no creo que sea una opción válida. Está corriendo Bind
> 9.9.5.dfsg-9+deb8u7 sobre Debian Wheezy. Espero no olvidarme de ningún dato
> relevante.
>
> Saludos y muchas gracias,
>
> Mauro.
>
Reply to: