Semuanya berbau skenario "bukan masalah saya" itu bukan kesalahan Anda dan harus / bisa 100% diselesaikan dengan mengambil tindakan yang tepat, terlepas dari seberapa "sulit" atau "sulit" itu, dan itu mengakhiri Anda buka server rekursif .
Fase keluar: beri tahu pelanggan bahwa server ini akan pergi pada tanggal X. Setelah waktu itu, mereka perlu menginstal patch (dengan asumsi Anda memilikinya) untuk menghentikannya dari menggunakan server DNS Anda. Ini dilakukan setiap saat. Admin, admin jaringan, helpdesk guys, programmer? Kami mendapatkannya ; akhir kehidupan ini terjadi setiap saat, karena prosedur operasi standar untuk vendor / penyedia layanan / mitra memberitahu kita untuk berhenti menggunakan sesuatu setelah tanggal X. Kami tidak selalu menyukainya, tetapi ini adalah fakta kehidupan di TI.
Anda mengatakan Anda tidak memiliki masalah ini pada perangkat saat ini, jadi saya berasumsi Anda telah menyelesaikan masalah ini dengan pembaruan firmware atau patch. Saya tahu Anda mengatakan Anda tidak dapat menyentuh perangkat, tetapi tentu saja mereka bisa? Maksudku, jika mereka membiarkan kotak-kotak ini pada dasarnya telepon rumah Anda, mereka tidak bisa benar-benar menjadi yang anal tentang siapa yang melakukan apa yang harus perangkat mereka; Anda bisa memiliki setup proxy terbalik untuk semua yang mereka tahu, jadi mengapa tidak minta mereka menginstal patch yang memperbaiki ini atau memberitahu mereka untuk menggunakan server DNS mereka sendiri . Tentunya perangkat Anda mendukung DHCP; Saya tidak bisa memikirkan perangkat jaringan (tidak peduli berapa lama / rapuh / aneh) yang tidak .
Jika Anda tidak dapat melakukan itu, hal berikutnya yang harus dilakukan adalah mengontrol siapa yang dapat mengakses server rekursif Anda: Anda mengatakan bahwa "sulit untuk mengatakan" siapa yang menggunakannya dan bagaimana, tetapi sekarang saatnya untuk mencari tahu secara pasti dan mulai menjatuhkan lalu lintas yang tidak sah
Ini adalah organisasi "semi-militer / pemerintah", bukan? Yah, mereka kemungkinan adalah bagian dari blokir sah yang mereka miliki; perangkat ini bukan router rumah di belakang IP dinamis. Temukan. Hubungi mereka, jelaskan masalahnya dan bagaimana Anda menghemat banyak uang dengan tidak memaksa firmware atau penggantian produk jika hanya mereka yang bisa mengkonfirmasi alamat netblock / IP yang akan digunakan perangkat untuk mengakses server DNS Anda.
Ini dilakukan sepanjang waktu: Saya memiliki beberapa pelanggan yang membatasi akses extranet atau pendengar HL7 ke mitra layanan kesehatan dengan cara ini; itu tidak sulituntuk meminta mereka mengisi formulir dan memberikan IP dan / atau netblock, saya seharusnya mengharapkan lalu lintas dari: jika mereka ingin akses ke ekstranet, mereka harus memberi saya IP atau subnet. Dan ini jarang menjadi target yang bergerak sehingga tidak seperti Anda akan dibanjiri dengan ratusan permintaan perubahan IP setiap hari: jaringan rumah sakit kampus besar yang memiliki blokir sendiri dengan ratusan subnet dan ribuan dan ribuan host IP secara rutin memberi saya beberapa alamat IP atau subnet yang seharusnya saya harapkan; lagi, ini bukan pengguna laptop yang berkeliaran di sekitar kampus sepanjang waktu, jadi mengapa saya berharap melihat paket sumber UDP dari alamat IP yang selalu berubah? Jelas saya membuat asumsi saya di sini, tapi saya berani bertaruh itu tidak sebanyak yang Anda pikirkan untuk perangkat <100-an. Ya, itu akan menjadi ACL yang panjang, dan ya,
Jika karena alasan tertentu saluran komunikasi tidak terbuka (atau seseorang terlalu takut atau tidak dapat diganggu untuk menghubungi pemilik perangkat lawas ini dan melakukan ini dengan benar), Anda perlu menetapkan garis dasar penggunaan / aktivitas normal sehingga Anda dapat memformulasikan beberapa strategi lain yang akan membantu (tetapi tidak mencegah) partisipasi Anda dalam serangan amplifikasi DNS.
Lama berjalan tcpdump
harus bekerja penyaringan pada UDP 53 yang masuk dan masuk log pada aplikasi server DNS. Saya juga ingin mulai mengumpulkan sumber alamat IP / netblocks / informasi geoIP (apakah semua klien Anda di AS? Blokir yang lain) karena, seperti yang Anda katakan, Anda tidak menambahkan perangkat baru, Anda hanya memberikan warisan layanan untuk instalasi yang ada.
Ini juga akan membantu Anda memahami jenis rekaman apa yang diminta, dan untuk domain apa, oleh siapa, dan seberapa sering : agar amplifikasi DNS berfungsi sebagaimana dimaksud, penyerang harus dapat meminta jenis rekaman besar (1) ke domain yang berfungsi (2).
"tipe rekaman besar": apakah perangkat Anda bahkan membutuhkan catatan TXT atau SOA untuk dapat diselesaikan oleh server DNS rekursif Anda? Anda mungkin dapat menentukan jenis rekaman mana yang valid di server DNS Anda; Saya percaya ini mungkin dengan BIND dan mungkin Windows DNS, tetapi Anda harus melakukan penggalian. Jika server DNS Anda merespon dengan SERVFAIL
apapun TXT atau SOA catatan, dan setidaknya bahwa respon urutan besarnya (atau dua) lebih kecil dari muatan yang dimaksudkan. Jelas Anda masih "bagian dari masalah" karena korban palsu masih akan mendapatkan SERVFAIL
tanggapan dari server Anda, tetapi setidaknya Anda tidak memalu mereka dan mungkin server DNS Anda "dihapuskan" dari daftar yang dipanen. bot menggunakan dari waktu ke waktu untuk tidak "bekerja sama".
"domain yang berfungsi": Anda mungkin dapat membuat daftar putih hanya domain yang valid. Saya melakukan ini pada pengaturan pusat data saya yang keras di mana server hanya membutuhkan Pembaruan Windows, Symantec, dll untuk berfungsi. Namun, Anda hanya mengurangi kerusakan yang Anda sebabkan pada saat ini: korban masih akan dibombardir dengan NXDOMAIN
atau SERVFAIL
tanggapan dari server Anda karena server Anda masih akan menanggapi IP sumber yang dipalsukan. Sekali lagi, skrip Bot mungkin juga secara otomatis memperbarui daftar server terbuka berdasarkan hasil, sehingga ini bisa membuat server Anda dihapus.
Saya juga menggunakan beberapa bentuk pembatasan tingkat, seperti yang disarankan orang lain, baik di tingkat aplikasi (yaitu ukuran pesan, permintaan per batasan klien) atau tingkat firewall (lihat jawaban lain), tetapi sekali lagi, Anda akan harus melakukan beberapa analisis untuk memastikan Anda tidak membunuh lalu lintas yang sah.
Sistem Deteksi Intrusi yang telah disetel dan / atau dilatih (sekali lagi, perlu garis dasar di sini) harus dapat mendeteksi lalu lintas yang abnormal dari waktu ke waktu berdasarkan sumber atau volume juga, tetapi kemungkinan akan memerlukan penjagaan / penyetelan / pemantauan berkala untuk mencegah kesalahan positif dan / atau lihat apakah itu benar-benar mencegah serangan.
Pada akhirnya, Anda harus bertanya-tanya apakah semua upaya ini sepadan atau apakah Anda harus bersikeras bahwa hal yang benar telah dilakukan dan itu menghilangkan masalah sejak awal.