Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
kb [2012/11/15 14:29] flacco [DDOS / Amplifier Attacke auf bind] |
kb [2012/11/15 14:59] flacco [Gegenmaßnahmen] |
||
|---|---|---|---|
| Zeile 224: | Zeile 224: | ||
| Die Diskrepanz zwischen eingehender und bis zum Faktor 60 höherer ausgehender Datenmenge gibt dieser Form des Angriffs ihren Namen DDOS/Amplifier (Verstärker). | Die Diskrepanz zwischen eingehender und bis zum Faktor 60 höherer ausgehender Datenmenge gibt dieser Form des Angriffs ihren Namen DDOS/Amplifier (Verstärker). | ||
| + | Da eine Anfrage im Rechenzentrum ergeben hat, dass von weiteren Attacken auf andere Server nichts bekannt ist und die Attacke auf meinen Server von immer anderen Hosts ausging, liegt der Schluss nahe, dass es sich um einen gesteuerte, zielgerichteten Angriff handelt (Distributed Denial Of Service Attack / DDOS). | ||
| + | |||
| + | Leider sind weder die Gründe dafür noch die Angreifer ohne Weiteres ermittelbar. | ||
| ==== Gegenmaßnahmen ==== | ==== Gegenmaßnahmen ==== | ||
| + | Für die Abwehr eines solchen Angriffes ergeben sich genau zwei Ansatzpunkte: | ||
| + | |||
| + | * Der Dienst selbst | ||
| + | * Die Firewall | ||
| + | |||
| + | Über die Firewall lassen sich Limits für Anfragen pro Zeit auf bestimmte Ports einrichten. Eine solche Maßnahme ist zwar wirksam um die Gesamtbelastung des Servers zu senken, sie bestraft allerdings auch diejenigen, die einen Dienst regulär nutzen. | ||
| + | |||
| + | Reduziert man also die Anfragen auf Port 53/UDP beispielsweise auf 200 pro Sekunde, lässt die Firewall eben nur noch eben diese 200 Anfragen auf den DNS-Server zu, ungeachtet dessen, ob eine Anfrage gut oder böse ist. Schöpft der Angreifer das Limit bereits aus, sind Störungen des regulären Betriebs die Folge. Prinzipiell, hat der Angreifer auch auf diese Weise sein Ziel schon erreicht. Der einzig messbare Erfolg dieser Strategie ist die Reduktion des Traffics. | ||
| + | |||
| + | Besser ist also die Abwehr am Dienst selbst oder eine Kombination mehrerer Maßnahmen. | ||
| + | |||
| + | Vielfach ist im Internet zu lesen, dass derartige Angriffe vor allem durch sogenannte "open resolver" begünstigt wird. Ein "open resolver" ist ein Nameserver, der für alle DNS Anfragen generell zur Verfügung steht. Einen DNS-Server so zu konfigurieren, dass er nur noch Fragen zu seinem eigenen Datenbestand, also seinen Zonen beantwortet führt zwar direkt zum Ziel, ist aber dann nicht möglich wenn es beispielsweise darum geht Forward-Nameserver für die eigenen Kunden zu sein. | ||
| + | |||
| + | Ist es nicht erforderlich allgemeine DNS-Anfragen zu beantworten lässt sich der oben beschriebene Angriff leicht abwehren. In der Datei "/etc/named.conf" muss in der Options-Sektion lediglich folgender Eintrag eingefügt werden: | ||
| + | |||
| + | <conf> | ||
| + | options { | ||
| + | ... | ||
| + | # Rekursion verbieten | ||
| + | recursion no; | ||
| + | ... | ||
| + | </conf> | ||
| + | |||
| + | Soll der Nameserver allerdings öffentlich für alle Anfragen zur Verfügung stehen, kommt diese Abwehrstrategie nicht in Frage. | ||
| ===== Postfix, Amavis & Dovecot ===== | ===== Postfix, Amavis & Dovecot ===== | ||