Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак
20 сентября 2013 года
Консорциум ISC представил новый значительный выпуск DNS-сервера BIND 9.9.4, примечательный интеграцией поддержки технологии RRL (Response Rate Limiting), позволяющей ограничить интенсивность отправки ответов DNS-сервером, что даёт администраторам средства для эффективной защиты от вовлечения их сервера в проведение DDoS-атак.
В последнее время участились случаи использования отвечающих на сторонние запросы открытых DNS-серверов для усиления трафика при DDoS-атаке на другие системы. Суть атаки состоит в том, что атакующий пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы, создаёт волну трафика из обратных ответов, примерно в 100 раз превосходящая исходный трафик. Используя ботнет для генерации первичных запросов, атакующий направляет трафик не на прямую, а через "линзу" из миллионов открытых резолверов (Архивная копия от 2 июня 2020 на Wayback Machine), что позволяет добиться волны порядка 50 млн пакетов в секунду.
RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.
Из других изменений можно отметить изменение значения по умолчанию длины очереди принимаемых TCP-соединений (tcp-listen-queue) с 3 до 10, что является более оптимальным значением для современных серверов. Добавлена поддержка OpenSSL 0.9.8y, 1.0.0k и 1.0.1e с PKCS#11. Обеспечена возможность отображения в логах slave-сервера отправки DDNS-обновлений к master-серверу. Устранены две уязвимости (уязвимости уже давно исправлены в обновлениях 9.9.3-P2, 9.8.5-P2 и 9.6-ESV-R9-P2):
- CVE-2013-4854 - позволяет инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитетные серверы.
- CVE-2013-3919 - позволяет инициировать крах серверного процесса named при возврате внешним DNS-сервером записи из специально оформленной зоны в ответ на рекурсивный запрос резолвера.
Также можно отметить выход обновления прошлой, но ещё поддерживаемой ветки - BIND 9.8.6, в которой не реализовано поддержки RRL, но добавлены другие отмеченные выше исправления и улучшения.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
