We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

[VELMI DŮLEŽITÉ] Resolving DNS: DNS AMP


Jan Cehák
05-31-2013, 08:36 AM
Zdravím,

V současnosti máme na naší síti téměř 160 000 fyzických serverů a více jak 40 000 virtuálních strojů. Některé z nich ale mají špatně nastavené DNS servery, což umožňuje hackerům používat DNS server pro spuštění útoků (DDos útok, typ DNS AMP) přímo na jejich cíl na naší síti.

Když jsme detekovali tento typ útoku, umístili jsme napadené IP adresy do karantény a sledovali jsme všechny IP adresy, ze kterých byl útok veden (během několika týdnů bude traffic na naší síti od těchto útoků zcela vyčištěn). To nám umožnilo vyhledávat a uzavírat servery, ze kterých byly útoky vedeny. Zároveň jsme měli v ruce důkazy, které útoky potvrdily a mohli jsme informovat zákazníky, kterých se tento problém týkal a upozornit je na tento bezpečnostní incident.

Týden jsme pracovali na řešení DNS AMP (amplification) útocích generovaných našimi zákazníky díky špatně nastavenému BIND. Již jsme také poslali prvním 500 zákazníkům e-mail ohledně tohoto problému s návodem, jak ho odstranit. Nyní připravujeme e-mail pro zbývajících cca 3000 zákazníků.

Současně také kontrolujeme probíhající útoky, kterých je několik denně, protože si zákazníci zatím svůj BIND neopravili buďto kvůli nedostatku času, nebo protože si myslí, že nejde o nic vážného.

Od jedné hodiny odpoledne jsme tedy umístili 3200 IP adres, které se na útocích podíleli, do karantény. Karanténa jde přes naši VAC1 infrastrukturu v RBX a filtrujeme veškeré DNS požadavky, které jsou mířeny za účelem spuštění útoku. Ostatní požadavky nejsou filtrovány a normálně se dostanou na cílový server.

Zároveň posíláme e-maily zákazníkům, kterých se problém týká, aby ho odstranili do 24 hodin. Od zítra začneme odpojovat servery, které způsobují bezpečnostní rizika.

Je můj DNS server chráněn?
IP adresu otestujete zde: http://ovh.to/6bc7evq

Jak zabezpečit DNS?
Postupujte podle instrukcí zde: http://ovh.to/CTG8bvX

Může OVH zabezpečit můj DNS server?
Ano, ale bude Vás to stát 500 Kč bez DPH. V případě zájmu si vytvořte ticket: http://ovh.to/jkTsuat

S pozdravem,
Octave