Jak zavřít DNS Open Resolver

Jak zavřít DNS Open Resolver

Po instalaci a konfiguraci cache serveru DNS, pokud je server dostupný na externí (bílé) adrese, je nutné zkontrolovat, zda server odpovídá pouze na dotazy od důvěryhodných hostitelů (klientů). V případě, že server odpovídá na dotazy od všech hostitelů, nazývá se takový server DNS Open Resolver.

Existuje riziko, že by útočníci mohli použít DNS Open Resolver k různým typům útoků:

  • Zatížit server náhodnými dotazy DNS a zahltit kanál přenosy. To může vést k odepření služby (DoS) a nedostupnosti služby DNS pro ostatní uživatele.
  • Odesláním speciálních dotazů na server s falešnou zdrojovou IP adresou zahájíte útok na třetího hostitele, který zahrnuje váš server. DNS Open Resolver odešle odpovědi na tuto falešnou adresu, což může mít za následek velké množství síťového provozu směřujícího na oběť útoku. Tento útok se nazývá DNS Amplification.
  • Nahrazení odpovědí serveru falešnými údaji, které skončí ve cache (Cache Poisoning). Když klientský počítač přistupuje k takto napadenému serveru DNS, může pro názvy domén obdržet falešné nebo škodlivé IP adresy.

Přehled

Cachingový server DNS je server, který zpracovává rekurzivní dotazy klientů.

Rekurzivní a iterativní dotazy DNS

Při přijetí rekurzivního dotazu vrátí server buď odpověď na dotaz, nebo chybovou zprávu. Server se stará o veškeré načítání dat a dotazování ostatních serverů. Při přijetí iterativního dotazu může server místo odpovědi vrátit adresu jiného serveru a klient pak tento dotaz přesměruje na zadaný server.

Jak zjistit, zda je server otevřený

Zda je server otevřen rekurzivním dotazům, můžete zkontrolovat na adrese https://openresolver.com/.

Nebo pomocí příkazů, které provádějí dotazy na systém DNS:

dig +short @XXX.XXX.XXX.XXX mysite.ru

host mysite.ru XXX.XXX.XXX.XXX

nslookup mysite.ru XXX.XXX.XXX.XXX

Místo XXX.XXX.XXX.XXX zadejte IP adresu serveru, který má být kontrolován. V příkladu je název mysite.ru, můžete zkontrolovat libovolný.

Pokud dotaz poskytne IP adresu při dotazu z libovolného hostitele, je váš server DNS Open Resolver.

Jak zakázat nebo omezit přístup pouze na důvěryhodné hostitele/sítě

  1. Omezte přístup k portu serveru (udp/53) na obvodu sítě nebo lokálně na samotném serveru DNS.
  2. Pokud má být server zodpovědný pouze za jednu nebo několik konkrétních zón, můžete rekurzivní dotazy zakázat přidáním možnosti “recursion no;” do konfiguračního souboru named.conf (named.conf.local nebo jiného, v závislosti na nastavení).
  3. Povolit rekurzivní dotazy pouze pro důvěryhodné sítě/hostitele, například: “allow-recursion { localhost; 10.16.0.0.0/16; };” (10.16.0.0.0/16 — nahradit důvěryhodnými adresami).

Zpráva o pravopisné chybě

Následující text bude zaslán naší redakci: