Saya tidak memiliki latar belakang terkuat dalam keamanan komputer, tetapi kemarin salah satu server perusahaan saya dimatikan oleh tuan rumah kami.
Ini server yang menetapkan IP publik tempat saya meng-host beberapa aplikasi layanan web termasuk situs web dan API. Saya diberitahu bahwa server saya "sedang menjalankan resolver dns terbuka yang sedang digunakan untuk menyampaikan serangan penolakan layanan ke entitas eksternal."
Apa artinya ini? Bagaimana cara kerja serangan ini? Dan bagaimana saya bisa melindungi sistem saya dari penyalahgunaan seperti ini?
Dalam kasus khusus saya, server yang dimaksud adalah pada Windows Server 2012, dan melayani DNS untuk domain Active Directory.
Jawaban:
"Open DNS resolver" adalah server DNS yang bersedia untuk menyelesaikan pencarian DNS rekursif untuk siapa pun di internet. Ini mirip dengan relai SMTP terbuka, karena kurangnya otentikasi memungkinkan pihak ketiga yang jahat menyebarkan muatannya menggunakan peralatan tanpa jaminan Anda. Dengan relay SMTP terbuka, masalahnya adalah mereka meneruskan spam. Dengan resolvers DNS terbuka, masalahnya adalah mereka memungkinkan penolakan serangan layanan yang dikenal sebagai Serangan Amplifikasi DNS.
Cara kerja serangan ini cukup sederhana - karena server Anda akan menyelesaikan kueri DNS rekursif dari siapa pun, penyerang dapat menyebabkannya berpartisipasi dalam DDoS dengan mengirimkan server Anda permintaan DNS rekursif yang akan mengembalikan sejumlah besar data, jauh lebih besar daripada paket permintaan DNS asli. Dengan memalsukan (memalsukan) alamat IP mereka, mereka akan mengarahkan lalu lintas tambahan ini ke komputer korban mereka, bukan komputer mereka sendiri, dan tentu saja, mereka akan membuat sebanyak mungkin permintaan ke server Anda, dan DNS terbuka lainnya resolver yang bisa mereka temukan. Dengan cara ini, seseorang dengan pipa yang relatif kecil dapat "memperkuat" penolakan serangan layanan dengan menggunakan semua bandwidth pada pipa mereka untuk mengarahkan volume lalu lintas yang jauh lebih besar pada korban mereka.
ArsTechnica melakukan artikel yang layak tentang serangan DDoS DNS Amplifikasi baru-baru ini terhadap Spamhaus , dan layak dibaca cepat untuk mendapatkan dasar-dasarnya (dan visual yang bagus untuk amplifikasi).
Cara paling sederhana untuk melindungi sistem Anda dari penyalahgunaan seperti ini adalah dengan membatasi alamat yang server Anda akan lakukan pencarian rekursif untuk subnet lokal Anda. (Yang spesifik tergantung pada server DNS yang Anda gunakan, tentu saja).
Misalnya, jika saya menggunakan BIND 9, dan hanya ingin mencegah rekursi DNS dari alamat luar, saya akan menggunakan kode berikut di konfigurasi saya:
Baris kode memberitahu BIND server saya untuk hanya memproses permintaan DNS rekursif untuk alamat loopback lokal (yang saya kira saya bisa / harus diatur ke blok loopback lokal, seluruh / 8) dan 3 ruang alamat Private IPv4.
Untuk Windows Server 2012, yang Anda katakan Anda gunakan, Anda memiliki opsi di bawah ini.
1. Pisahkan server DNS Anda dari server IIS Anda.
2. Blokir permintaan DNS eksternal dengan firewall, seperti firewall Windows bawaan.
Remote IP address
bagian dan tambahkan subnet yang digunakan di LAN Anda, serta alamat IP server yang menghadap publik yang membutuhkan akses ke Active Directory. Seperti contoh BIND, ruang alamat pribadi IPv4 adalah127.0.0.0/8
10.0.0.0/8
192.168.0.0/16
dan172.16.0.0/12
.3. Nonaktifkan rekursi .
sumber