Pengantar
Serangan Amplifikasi Domain Name Server (DNS) adalah bentuk populer dari Distributed Denial of Service (DDoS), di mana penyerang menggunakan server DNS terbuka yang dapat diakses publik untuk membanjiri sistem target dengan lalu lintas respons DNS. Teknik utama terdiri dari penyerang yang mengirimkan permintaan pencarian nama DNS ke server DNS terbuka dengan alamat sumber yang dipalsukan menjadi alamat target.
ref:https://www.us-cert.gov/ncas/alerts/TA13-088A
Menonaktifkan Rekursi pada Server Nama Resmi
Banyak server DNS yang saat ini digunakan di Internet secara eksklusif dimaksudkan untuk memberikan resolusi nama untuk satu domain. Dalam sistem ini, resolusi DNS untuk sistem klien pribadi dapat disediakan oleh server terpisah dan server otoritatif hanya bertindak sebagai sumber DNS informasi zona untuk klien eksternal. Sistem ini tidak perlu mendukung resolusi rekursif dari domain lain atas nama klien, dan harus dikonfigurasi dengan rekursi dinonaktifkan.
Ikat9
Tambahkan berikut ini ke opsi global:
options {
allow-query-cache { none; };
recursion no;
}; Server DNS Microsoft
Di alat konsol DNS Microsoft:
- Klik kanan server DNS dan klik Properti.
- Klik tab Lanjutan.
- Dalam Opsi server, pilih kotak centang “Nonaktifkan rekursi”, lalu klik OK.
Membatasi Rekursi ke Klien Resmi
Untuk server DNS yang disebarkan dalam organisasi atau Penyedia Layanan Internet, resolver harus dikonfigurasi untuk melakukan kueri rekursif hanya atas nama klien yang berwenang. Permintaan ini biasanya hanya boleh datang dari klien dalam rentang alamat jaringan organisasi. Kami sangat menyarankan agar semua administrator server membatasi rekursi hanya untuk klien di jaringan organisasi.
BIND9
Dalam opsi global, sertakan yang berikut ini:
acl corpnets { 192.168.1.0/24; 192.168.2.0/24; };
options {
allow-query { any; };
allow-recursion { corpnets; };
}; Server DNS Microsoft
Saat ini tidak mungkin untuk membatasi permintaan DNS rekursif ke rentang alamat klien tertentu di Microsoft DNS Server. Untuk memperkirakan fungsionalitas daftar kontrol akses BIND di Server DNS Microsoft, server nama caching-only yang berbeda harus disiapkan secara internal untuk memberikan resolusi rekursif. Aturan firewall harus dibuat untuk memblokir akses masuk ke server khusus caching dari luar jaringan organisasi. Fungsionalitas server nama otoritatif kemudian perlu di-host di server terpisah, tetapi dikonfigurasi untuk menonaktifkan rekursi seperti yang dijelaskan sebelumnya.
Pembatasan Tingkat Respons (RRL)
Saat ini ada fitur eksperimental yang tersedia sebagai satu set tambalan untuk BIND9 yang memungkinkan administrator membatasi jumlah maksimum tanggapan per detik yang dikirim ke satu klien dari server nama. Fungsionalitas ini dimaksudkan untuk digunakan pada server nama domain otoritatif saja karena akan memengaruhi kinerja pada resolver rekursif. Untuk memberikan perlindungan yang paling efektif, kami menyarankan agar server nama otoritatif dan rekursif berjalan pada sistem yang berbeda, dengan RRL diimplementasikan pada server otoritatif dan daftar kontrol akses diimplementasikan pada server rekursif. Ini akan mengurangi efektivitas serangan amplifikasi DNS dengan mengurangi jumlah lalu lintas yang berasal dari server otoritatif tunggal mana pun tanpa memengaruhi kinerja resolver rekursif internal.
BIND9
Saat ini tersedia patch untuk 9.8.latest dan 9.9.latest untuk mendukung RRL pada sistem UNIX. Red Hat telah membuat paket yang diperbarui tersedia untuk Red Hat Enterprise Linux 6 untuk memberikan perubahan yang diperlukan dalam penasehat RHSA-2013:0550-1. Pada implementasi BIND9 yang menjalankan patch RRL, sertakan baris berikut ke blok opsi dari tampilan otoritatif:
rate-limit {
responses-per-second 5;
window 5;
}; Server DNS Microsoft
Opsi ini saat ini tidak tersedia untuk Microsoft DNS Server.