none
DDoS-атака с моего сервера WIN2008 R2 RRS feed

  • Вопрос

  • Добрый день. Подскажите, пожалуйста, есть вин сервер 2008 Р2. Сервер имеет белый IP. Пришло сообщение, что на какой-то сайт идет атака с моего сервера.

    From: NFOservers.com DDoS notifier [mailto:ddos-response@nfoservers.com]
    Sent: Monday, October 27, 2014 3:14 PM
    To: Abuse
    Subject: Open recursive resolver used for an attack: 130.193.65.155

    You appear to be running an open recursive resolver at IP address 130.193.65.155 that participated in an attack against a customer of ours, generating large UDP responses to spoofed queries, with those responses becoming fragmented because of their size.

    Please consider reconfiguring your resolver in one or more of these ways:

    - To only serve your customers and not respond to outside IP addresses (in BIND, this is done by defining a limited set of hosts in "allow-query"; with a Windows DNS server, you would need to use firewall rules to block external access to UDP port 53)
    - To only serve domains that it is authoritative for (in BIND, this is done by defining a limited set of hosts in "allow-query" for the server overall but setting "allow-query" to "any" for each zone)
    - To rate-limit responses to individual source IP addresses (such as by using DNS Response Rate Limiting or iptables rules)

    More information on this type of attack and what each party can do to mitigate it can be found here: http://www.us-cert.gov/ncas/alerts/TA13-088A

    If you are an ISP, please also look at your network configuration and make sure that you do not allow spoofed traffic (that pretends to be from external IP addresses) to leave the network. Hosts that allow spoofed traffic make possible this type of attack.

    Example DNS responses from your resolver during this attack are given below.
    Timestamps (far left) are PDT (UTC-7), and the date is 2014-10-27.

    04:56:49.285212 IP (tos 0x0, ttl 119, id 5871, offset 0, flags [+], proto UDP (17), length 1500) 130.193.65.155.53 > 66.150.155.x.57818: 29256| 246/0/1 oggr.ru. A 31.31.204.59, oggr.ru. A[|domain]
    0x0000: 4500 05dc 16ef 2000 7711 64f4 82c1 419b E.......w.d...A.
    0x0010: 4296 9b3b 0035 e1da 0f94 5651 7248 8380 B..;.5....VQrH..
    0x0020: 0001 00f6 0000 0001 046f 6767 7202 7275 .........oggr.ru
    0x0030: 0000 ff00 01c0 0c00 0100 0100 00f0 f800 ................
    0x0040: 041f 1fcc 3bc0 0c00 0100 0100 00f0 f800 ....;...........
    0x0050: 047b .{
    04:56:49.288163 IP (tos 0x0, ttl 119, id 5872, offset 0, flags [+], proto UDP (17), length 1500) 130.193.65.155.53 > 66.150.155.x.34931: 36460| 246/0/1 oggr.ru. A 31.31.204.59, oggr.ru. A[|domain]
    0x0000: 4500 05dc 16f0 2000 7711 64f3 82c1 419b E.......w.d...A.
    0x0010: 4296 9b3b 0035 8873 0f94 9394 8e6c 8380 B..;.5.s.....l..
    0x0020: 0001 00f6 0000 0001 046f 6767 7202 7275 .........oggr.ru
    0x0030: 0000 ff00 01c0 0c00 0100 0100 00f0 f800 ................
    0x0040: 041f 1fcc 3bc0 0c00 0100 0100 00f0 f800 ....;...........
    0x0050: 047b .{
    04:56:49.342962 IP (tos 0x0, ttl 118, id 5880, offset 0, flags [+], proto UDP (17), length 1500) 130.193.65.155.53 > 66.150.155.x.18725: 29256| 246/0/1 oggr.ru. A 31.31.204.59, oggr.ru. A[|domain]
    0x0000: 4500 05dc 16f8 2000 7611 65eb 82c1 419b E.......v.e...A.
    0x0010: 4296 9b3b 0035 4925 0f94 ef06 7248 8380 B..;.5I%....rH..
    0x0020: 0001 00f6 0000 0001 046f 6767 7202 7275 .........oggr.ru
    0x0030: 0000 ff00 01c0 0c00 0100 0100 00f0 f800 ................
    0x0040: 041f 1fcc 3bc0 0c00 0100 0100 00f0 f800 ....;...........
    0x0050: 047b .{

    (The final octet of our customer's IP address is masked in the above output because some automatic parsers become confused when multiple IP addresses are included. The value of that octet is "59".)

    Читал про то, что можно отключиьт рекурсию ДНС. Скажите, чем это опасно или нет для домена?Так же хотелось бы узнать о каких-ть еще системах защиты от ДДоС-атак на винде, ибо на линуксе много гайдов написано.

    Буду очень признателен за любую информацию

    28 октября 2014 г. 18:53

Ответы

  • Если вы отключите рекурсию, то клиенты вашего DNS могут оказаться неспособны разрешать имена из интернета (не принадлежащие вашему домену).

    Лучше измените правило в брандмауэре Windows (в консоли Windows Firewall with Advanced security), которое разрешает входящий трафик DNS (UDP, порт 53): на вкладке Scope укажите, что Remote IP Address должен принадлежать диапазону адресов вашей сети.


    Слава России!

    • Помечено в качестве ответа Mansitto 28 октября 2014 г. 19:40
    • Снята пометка об ответе Mansitto 28 октября 2014 г. 19:40
    • Помечено в качестве ответа Alexander RusinovModerator 31 октября 2014 г. 9:50
    28 октября 2014 г. 19:28

Все ответы

  • Если вы отключите рекурсию, то клиенты вашего DNS могут оказаться неспособны разрешать имена из интернета (не принадлежащие вашему домену).

    Лучше измените правило в брандмауэре Windows (в консоли Windows Firewall with Advanced security), которое разрешает входящий трафик DNS (UDP, порт 53): на вкладке Scope укажите, что Remote IP Address должен принадлежать диапазону адресов вашей сети.


    Слава России!

    • Помечено в качестве ответа Mansitto 28 октября 2014 г. 19:40
    • Снята пометка об ответе Mansitto 28 октября 2014 г. 19:40
    • Помечено в качестве ответа Alexander RusinovModerator 31 октября 2014 г. 9:50
    28 октября 2014 г. 19:28
  • Если вы отключите рекурсию, то клиенты вашего DNS могут оказаться неспособны разрешать имена из интернета (не принадлежащие вашему домену).

    Лучше измените правило в брандмауэре Windows (в консоли Windows Firewall with Advanced security), которое разрешает входящий трафик DNS (UDP, порт 53): на вкладке Scope укажите, что Remote IP Address должен принадлежать диапазону адресов вашей сети.


    Слава России!

    Я создал правило,что блокирует все исходящие по 53 порту. Так ж глянул там еще есть правило(уже было) Все исходящие(UDP),Основы сетей -DNS(UDP-исходящий трафик). Скажите, какое из правил имеет приоритет?
    28 октября 2014 г. 19:46
  • Настроил во входящих пул адресов,С которых можно подключение. А как теперь можно проверить идет атака или нет?
    • Изменено Mansitto 28 октября 2014 г. 19:52
    28 октября 2014 г. 19:47
  • Можно использовать журнал отладки

    Слава России!

    28 октября 2014 г. 20:02
  • Я создал правило,что блокирует все исходящие по 53 порту. Так ж глянул там еще есть правило(уже было) Все исходящие(UDP),Основы сетей -DNS(UDP-исходящий трафик). Скажите, какое из правил имеет приоритет?
    Вам нужно блокировать входящий трафик, идущий с посторонних адресов, а не исходящий.

    Слава России!


    • Изменено M.V.V. _ 28 октября 2014 г. 20:04
    28 октября 2014 г. 20:03
  • Я создал правило,что блокирует все исходящие по 53 порту. Так ж глянул там еще есть правило(уже было) Все исходящие(UDP),Основы сетей -DNS(UDP-исходящий трафик). Скажите, какое из правил имеет приоритет?
    Вам нужно блокировать входящий трафик, идущий с посторонних адресов, а не исходящий.

    Слава России!


    Скажите,а есть другие средства блокировки?
    29 октября 2014 г. 19:17
  • Есть брандмауэры третьих фирм. Но зачем? В данном случае достаточно функциональности брандмауэра, встроенного в Windows. Нужно всего лишь научиться им пользоваться.

    В вашем случае нужно блокировать посторонние (из-за пределов вашей сети) запросы DNS к вашему серверу, потому что он пытается отвечать на эти запросы, осуществляя рекурсию.


    Слава России!

    29 октября 2014 г. 19:29
  • Если вы отключите рекурсию, то клиенты вашего DNS могут оказаться неспособны разрешать имена из интернета (не принадлежащие вашему домену).

    Лучше измените правило в брандмауэре Windows (в консоли Windows Firewall with Advanced security), которое разрешает входящий трафик DNS (UDP, порт 53): на вкладке Scope укажите, что Remote IP Address должен принадлежать диапазону адресов вашей сети.


    Слава России!

    Хочу немного уточнить. Во входящиех подключениях DNS(UDP-входящие),Действие-Разрешить подклчючение,Область-указываю свою область IP,с которых возможно подключение. Всё верно?
    30 октября 2014 г. 2:55
  • Да, так: на вкладке Область в разделе Удалённые IP-адреса выбираете Указанные IP-адреса и добавляете в список свои IP,  с которых подключение разрешено.

    Слава России!

    • Предложено в качестве ответа 1212324 8 марта 2016 г. 10:51
    30 октября 2014 г. 9:37
  • Если вы отключите рекурсию, то клиенты вашего DNS могут оказаться неспособны разрешать имена из интернета (не принадлежащие вашему домену).

    Лучше измените правило в брандмауэре Windows (в консоли Windows Firewall with Advanced security), которое разрешает входящий трафик DNS (UDP, порт 53): на вкладке Scope укажите, что Remote IP Address должен принадлежать диапазону адресов вашей сети.


    Слава России!

    Хочу немного уточнить. Во входящиех подключениях DNS(UDP-входящие),Действие-Разрешить подклчючение,Область-указываю свою область IP,с которых возможно подключение. Всё верно?
    Так что?
    31 октября 2014 г. 2:23
  • Да, верно.


    Слава России!

    31 октября 2014 г. 9:43
  • DNS на этом сервере - он, собственно, для чего?

    Если это DNS своего внешнего домена, для внешнего использования - он в принципе должен резольвить только запросы к своим зонам (только авторитетные ответы), ни о каких внутренних клиентах речи идти в принципе не должно. То есть, отключать и рекурсию, и пересылку, всё.

    Если на нём внутренние зоны, для внутреннего использования, через другой интерфейс с внутренним IP - для самого DNS прописать привязку только к внутреннему интерфейсу. И иметь ввиду, что для резольвинга внешних имён лучше всегда прописывать пересылку, оставлять рекурсию, или нет, вопрос надёжности используемых для пересылки DNS.

    И, да, отключать рекурсию можно всегда, если прописана (и работает) пересылка. Правда, в этом случае могут обидеться уже хозяева используемых для пересылки DNS, если их завалить запросами.


    S.A.

    31 октября 2014 г. 12:35
  • И, да, отключать рекурсию можно всегда, если прописана (и работает) пересылка. Правда, в этом случае могут обидеться уже хозяева используемых для пересылки DNS, если их завалить запросами.


    S.A.

    Не вводите людей в заблуждение.

    Если отключить рекурсию на сервере DNS, то он вообще не будет искать имена в зонах, для которых он не является полномочным. Поэтому пересылка тут не поможет.


    Слава России!

    31 октября 2014 г. 13:15
  • Не вводите людей в заблуждение.

    Если отключить рекурсию на сервере DNS, то он вообще не будет искать имена в зонах, для которых он не является полномочным. Поэтому пересылка тут не поможет

    При настройке пересылки (у MS DNS) присутствует опция - "Использовать корневые ссылки, если нет доступных серверов пересылки". Которую можно не включать.

    И в хелпе написано вполне однозначно "... Использование пересылки препятствует использованию этим сервером рекурсии для разрешения запросов DNS".

    Проверяется элементарно - открыть соответствующую оснастку.


    S.A.

    1 ноября 2014 г. 21:37
  • А, если вы имели в виду эту опцию, то тогда всё правильно. Но там есть ещё и опция "Отключить рекурсию..." (на вкладке Дополнительно), и ваш совет отключить рекурсию больше похож (по крайней мере, для меня) на включение  этой опции.

    Слава России!

    2 ноября 2014 г. 12:01
  • Дык там полностью написано "Отключить рекурсию (и серверы пересылки)". Было бы несколько странным посоветовать "настроить серверы пересылки и ... отключить серверы пересылки", не правда ли? ;)

    С другой стороны, да, формально "там" присутствует слово "рекурсия", а "тут" слова "использовать корневые ссылки". Ну... это без дополнительных комментариев :).


    S.A.

    2 ноября 2014 г. 14:25