"ไม่ใช่ปัญหาของฉัน" ที่ไม่ใช่ความผิดของคุณจริง ๆ และควร / สามารถแก้ไขได้ 100% โดยดำเนินการตามความเหมาะสมโดยไม่คำนึงว่า "ยาก" หรือ "ยาก" เป็นอย่างไรและนั่นเป็นการยกเลิก เซิร์ฟเวอร์
เลิกใช้แล้ว: บอกลูกค้าว่าเซิร์ฟเวอร์นี้กำลังจะหายไปตั้งแต่วันที่ X หลังจากเวลานั้นพวกเขาจำเป็นต้องติดตั้งโปรแกรมแก้ไข (สมมติว่าคุณมี) เพื่อหยุดการใช้เซิร์ฟเวอร์ DNS ของคุณ เสร็จสิ้นตลอดเวลา Sysadmins ผู้ดูแลระบบเครือข่ายผู้ให้ความช่วยเหลือโปรแกรมเมอร์ เราได้รับมัน; สิ่งสุดท้ายของชีวิตเกิดขึ้นตลอดเวลาเพราะขั้นตอนการดำเนินงานมาตรฐานสำหรับผู้จัดจำหน่าย / ผู้ให้บริการ / พันธมิตรบอกให้เราหยุดใช้บางอย่างหลังจากวัน X เราไม่ชอบมันเสมอไป แต่เป็นความจริงของชีวิตในไอที
คุณบอกว่าคุณไม่มีปัญหานี้ในอุปกรณ์ปัจจุบันดังนั้นฉันสมมติว่าคุณได้แก้ไขปัญหานี้ด้วยการอัพเดตเฟิร์มแวร์หรือแพทช์ ฉันรู้ว่าคุณบอกว่าคุณไม่สามารถสัมผัสอุปกรณ์ แต่แน่นอนพวกเขาสามารถ? ฉันหมายความว่าหากพวกเขาอนุญาตให้กล่องเหล่านี้ส่งโทรศัพท์ถึงบ้านคุณเป็นหลักพวกเขาไม่สามารถพูดได้ว่าใครกำลังทำอะไรกับอุปกรณ์ของพวกเขา คุณอาจจะมีการตั้งค่าพร็อกซี่กลับทั้งหมดที่พวกเขารู้ดังนั้นทำไมไม่ให้พวกเขาได้ติดตั้งโปรแกรมปรับปรุงที่แก้ไขนี้หรือบอกให้ใช้เซิร์ฟเวอร์ DNS ของตัวเอง อุปกรณ์ของคุณรองรับ DHCP แน่นอน ฉันไม่สามารถคิดของอุปกรณ์เครือข่าย (ไม่สำคัญว่าเก่า / อ่อนแอ / คี่) ที่ไม่ได้
หากคุณไม่สามารถทำสิ่งต่อไปที่ต้องทำคือควบคุมผู้ที่สามารถเข้าถึงเซิร์ฟเวอร์ซ้ำของคุณ : คุณบอกว่ามันเป็น "ยากที่จะบอก" ว่าใครกำลังใช้และวิธีการ แต่ก็ถึงเวลาแล้วที่จะต้องค้นหา ไม่ถูกต้องตามกฎหมาย
นี่คือองค์กร "กึ่งทหาร / รัฐบาล" ใช่ไหม พวกเขาน่าจะเป็นส่วนหนึ่งของ netblock ที่ถูกกฎหมายที่พวกเขาเป็นเจ้าของ อุปกรณ์เหล่านี้ไม่ใช่เราเตอร์ในบ้านที่อยู่เบื้องหลัง IP แบบไดนามิก ค้นหา ติดต่อพวกเขาอธิบายปัญหาและวิธีที่คุณประหยัดเงินเป็นจำนวนมากโดยไม่บังคับให้ใช้เฟิร์มแวร์หรือการเปลี่ยนผลิตภัณฑ์หากพวกเขาเท่านั้นที่สามารถยืนยันที่อยู่ netblock / IP ที่อุปกรณ์จะใช้ในการเข้าถึงเซิร์ฟเวอร์ DNS ของคุณ
สิ่งนี้ทำตลอดเวลา: ฉันมีลูกค้าหลายรายที่ จำกัด การเข้าถึงเอกซ์ทราเน็ตหรือผู้ฟัง HL7 สำหรับพันธมิตรทางการแพทย์ด้วยวิธีนี้ มันไม่ยากเลยเพื่อให้พวกเขากรอกแบบฟอร์มและจัดหา IP และ / หรือ netblock ฉันควรคาดหวังปริมาณการใช้ข้อมูลจาก: หากพวกเขาต้องการเข้าถึงเอกซ์ทราเน็ตพวกเขาต้องให้ IP หรือซับเน็ตให้ฉัน และนี่เป็นเป้าหมายที่เคลื่อนย้ายได้ยากดังนั้นจึงไม่เหมือนกับที่คุณจะได้รับการร้องขอการเปลี่ยนแปลง IP หลายร้อยครั้งทุกวัน: เครือข่ายโรงพยาบาลในมหาวิทยาลัยขนาดใหญ่ที่เป็นเจ้าของ netblocks ของตัวเองด้วยเครือข่ายย่อยหลายร้อยเครือข่าย หยิบที่อยู่ IP หรือเครือข่ายย่อยฉันควรคาดหวัง; อีกครั้งผู้ใช้แล็ปท็อปเหล่านี้ไม่ได้เดินทางไปรอบ ๆ มหาวิทยาลัยตลอดเวลาดังนั้นทำไมฉันจึงคาดว่าจะเห็นแหล่งข้อมูลแพ็กเก็ต UDP จากที่อยู่ IP ที่เปลี่ยนแปลงตลอดเวลา เห็นได้ชัดว่าฉันทำให้ฉันเป็นสมมติฐานที่นี่ แต่ฉันจะเดิมพันมันไม่มากเท่าที่คุณคิดสำหรับอุปกรณ์ <100s ใช่มันจะเป็น ACL ที่ยาวและใช่
หากด้วยเหตุผลบางอย่างช่องทางการสื่อสารไม่เปิด (หรือบางคนกลัวหรือไม่สามารถติดต่อเจ้าของอุปกรณ์ดั้งเดิมเหล่านี้และทำอย่างถูกต้อง) คุณจำเป็นต้องสร้างพื้นฐานการใช้งาน / กิจกรรมปกติเพื่อให้คุณสามารถกำหนด กลยุทธ์อื่น ๆ ที่จะช่วย (แต่ไม่ป้องกัน) การมีส่วนร่วมของคุณในการโจมตีการขยาย DNS
การรันนานtcpdump
ควรทำงานการกรอง UDP 53 ที่เข้ามาและการบันทึกอย่างละเอียดในแอปพลิเคชันเซิร์ฟเวอร์ DNS ฉันต้องการเริ่มรวบรวมแหล่งข้อมูลที่อยู่ IP / netblocks / geoIP (ลูกค้าของคุณทั้งหมดในสหรัฐฯหรือไม่ปิดกั้นทุกอย่าง) เพราะอย่างที่คุณบอกว่าคุณไม่ได้เพิ่มอุปกรณ์ใหม่คุณเพียงแค่มอบมรดก บริการการติดตั้งที่มีอยู่
วิธีนี้จะช่วยให้คุณเข้าใจว่ามีการร้องขอประเภทระเบียนใดและโดเมนใดที่ใครและบ่อยครั้งเพียงใด : เพื่อให้การขยาย DNS ทำงานได้ตามที่ต้องการผู้โจมตีจะต้องสามารถขอประเภทระเบียนขนาดใหญ่ (1) ทำงานโดเมน (2)
"ประเภทระเบียนขนาดใหญ่": อุปกรณ์ของคุณจำเป็นต้องใช้ระเบียน TXT หรือ SOA เพื่อให้สามารถแก้ไขได้โดยเซิร์ฟเวอร์ DNS แบบเรียกซ้ำหรือไม่? คุณอาจระบุประเภทระเบียนที่ถูกต้องบนเซิร์ฟเวอร์ DNS ของคุณ ฉันเชื่อว่าเป็นไปได้ด้วย BIND และ Windows DNS แต่คุณต้องขุดบ้าง หากตอบสนองเซิร์ฟเวอร์ DNS ของคุณกับSERVFAIL
ใด ๆ TXT หรือ SOA ระเบียนและน้อยว่าการตอบสนองเป็นคำสั่งของขนาด (หรือสอง) มีขนาดเล็กกว่าอัตราที่ตั้งใจ เห็นได้ชัดว่าคุณยังคง "เป็นส่วนหนึ่งของปัญหา" เพราะเหยื่อที่ปลอมแปลงจะยังคงได้รับการSERVFAIL
ตอบสนองจากเซิร์ฟเวอร์ของคุณ แต่อย่างน้อยคุณก็ไม่ได้ทุบพวกเขาและบางทีเซิร์ฟเวอร์ DNS ของคุณได้รับ "เพิกถอน" จากรายการที่เก็บเกี่ยว บอทใช้ตลอดเวลาเพราะไม่ใช่ "การประสานงาน"
"โดเมนที่ใช้งานได้": คุณอาจสามารถยกเว้นโดเมนที่ถูกต้องเท่านั้น ฉันทำสิ่งนี้ในการตั้งค่าศูนย์ข้อมูลที่แข็งขึ้นซึ่งเซิร์ฟเวอร์ต้องการเพียงแค่ Windows Update, Symantec และอื่น ๆ เพื่อให้สามารถใช้งานได้ อย่างไรก็ตามคุณเพียงแค่บรรเทาความเสียหายที่เกิดขึ้น ณ จุดนี้เหยื่อจะยังคงถูกโจมตีNXDOMAIN
หรือSERVFAIL
ตอบสนองจากเซิร์ฟเวอร์ของคุณเพราะเซิร์ฟเวอร์ของคุณจะยังตอบสนองต่อ IP ต้นทางที่ปลอมแปลง อีกครั้งสคริปต์ Bot อาจอัปเดตรายการเซิร์ฟเวอร์ที่เปิดโดยอัตโนมัติตามผลลัพธ์ดังนั้นจึงอาจลบเซิร์ฟเวอร์ของคุณได้
ฉันจะใช้การ จำกัด อัตรารูปแบบตามที่คนอื่นแนะนำในระดับแอปพลิเคชัน (เช่นขนาดข้อความคำขอต่อข้อ จำกัด ไคลเอนต์) หรือระดับไฟร์วอลล์ (ดูคำตอบอื่น ๆ ) แต่อีกครั้งคุณจะ ต้องทำการวิเคราะห์เพื่อให้แน่ใจว่าคุณไม่ได้ฆ่าทราฟฟิกที่ถูกกฎหมาย
ระบบตรวจจับการบุกรุกที่ได้รับการปรับและ / หรือผ่านการฝึกอบรม (จำเป็นต้องมีพื้นฐานที่นี่อีกครั้ง) ควรจะสามารถตรวจจับการรับส่งข้อมูลที่ผิดปกติในช่วงเวลาตามแหล่งที่มาหรือปริมาณได้เช่นกัน / หรือดูว่าเป็นการป้องกันการโจมตีจริงหรือไม่
ในตอนท้ายของวันคุณต้องสงสัยว่าความพยายามทั้งหมดนี้จะคุ้มค่าหรือถ้าคุณเพียงแค่ยืนยันว่าสิ่งที่ถูกต้องจะทำและนั่นคือการขจัดปัญหาในสถานที่แรก