Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Evitar ataques DDoS en el DNS
#1
Quienes estén utilizando últimamente los servicios de DNS Report habrán notado que el diagnóstico regresa ahora un error que en resumen dice que el servidor puede ser susceptible de sufrir/participar en un ataque DDoS (Distributed Denail of Service o denegación de servicio distribuido).

Un DDoS (Distributed Denial of Service) es una ampliación del ataque DoS, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos del mundo. El atacante consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del saturación de información (flood), pudiendo darse casos de un ataque de cientos o millares de computadoras dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido haciendo más sofisticada hasta el punto de otorgar poder de causar daños serios a personas con escaso conocimiento técnico.

La falla reportada por DNS Report dice así:

«ERROR: One or more of your nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an excessive load on your DNS server. Alos, it is strongly discouraged to have a DNS server be both authoritative for your domain and be recursive (even if it is not open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Alos, the bad guys could use your DNS server as part of an attack, by forging their IP address»

Significa que el servidor DNS puede permitir a cualquiera realizar consultas recursivas. Si se trata de un DNS que se desea pueda ser consultado por cualquiera, como puede ser el caso del DNS de un ISP, esto es normal y esperado. Si se trata de un servidor que solo deben consultar los anfitriones de la red local, o bien que se utiliza para propagar dominios hospedados localmente, es conveniente tomar medidas al respecto.

Solución al problema: en el fichero /etc/named.conf se añade en la sección de opciones (options) una línea que defina la red, las redes o bien los ACL que tendrán permitido realizar todo tipo de consultas.

Código:
options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        forwarders { 192.168.0.1; };
        forward first;
        allow-recursion { 127.0.0.1; 192.168.0.0/24; };
};

Lo anterior hace que solo 192.168.0.0/24 pueda realizar todo tipo de consultas en el DNS, ya sea para un nombre de dominio hospedado localmente y otros dominios resueltos en otros servidores (ejemplo: http://www.yahoo.com, http://www.google.com, http://www.alcancelibre.org, etc). El resto del mundo solo podrá realizar consultas sobre los dominios hospedados localmente y que estén configurado para permitirlo.

Código:
options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        forwarders { 192.168.0.1; };
        forward first;
        allow-recursion { 127.0.0.1; 192.168.0.0/24; };
};

zone "." IN {
        type hint;
        file "named.ca";
};

zone "miredlocal" {
        type master;
        file "miredlocal.zone";
        allow-update { none; };
        allow-query { 192.168.0.0/24; };
        allow-transfer { 192.168.0.2; };
};

zone "midominio.com" {
        type master;
        file "midominio.com.zone";
        allow-update { none; };
        allow-transfer { 200.76.185.252; 200.76.185.251; };
};

Una configuración como la anterior hace lo siguiente:

*

Red Local: cualquier tipo de consulta hacia dominios externos y locales (es decir, http://www.yahoo.com, http://www.google.com, http://www.alcancelibre.org, además de midominio.com).
*

Resto del mundo: solo puede hacer consultas para la zona de midominio.com

De este modo se impide que haya consultas recursivas y con esto impedir la posibilidad de sufrir/participar de un ataque DDoS.

Si en la configuración de named.conf está presente lo siguiente:

query-source address * port 53;

Debe eliminarse para permitir utilizar números aleatorios para definir los puertos que se utilizarán para realizar las consultas.

Aporte Original por: Ethical_Ov3r
[Imagen: bann.png]
WWW
#2
Umm fantástico Taquión te daria las gracias con el boton de "gracias" o te daría puntos "web" si existieran ( es coña).
Pero sí te doy las Gracias por tan valiosa información y tan bién explicada.

Salu2.
WWW
#3
pues son gracias para Ethical_Ov3r que nos dio tan excelente tutorial
[Imagen: bann.png]
WWW
#4
Por siwerto donde andaraese user? Era buenisimo
WWW
#5
pues seguramente en el host de custus
[Imagen: bann.png]
WWW
#6
Pues no lo he visto alli, y de ves en cuando me paso (a no ser que haya cambiado de nombre ), jejeje Guiño
WWW
#7
Ya lo estoy probando, la verdad es que esta muy bien para evitar ataques de envidiosos.
WWW
#8
(17-09-2009, 09:25 PM)Taquion escribió: Quienes estén utilizando últimamente los servicios de DNS Report habrán notado que el diagnóstico regresa ahora un error que en resumen dice que el servidor puede ser susceptible de sufrir/participar en un ataque DDoS (Distributed Denail of Service o denegación de servicio distribuido).

Un DDoS (Distributed Denial of Service) es una ampliación del ataque DoS, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos del mundo. El atacante consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del saturación de información (flood), pudiendo darse casos de un ataque de cientos o millares de computadoras dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido haciendo más sofisticada hasta el punto de otorgar poder de causar daños serios a personas con escaso conocimiento técnico.

La falla reportada por DNS Report dice así:

«ERROR: One or more of your nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an excessive load on your DNS server. Alos, it is strongly discouraged to have a DNS server be both authoritative for your domain and be recursive (even if it is not open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Alos, the bad guys could use your DNS server as part of an attack, by forging their IP address»

Significa que el servidor DNS puede permitir a cualquiera realizar consultas recursivas. Si se trata de un DNS que se desea pueda ser consultado por cualquiera, como puede ser el caso del DNS de un ISP, esto es normal y esperado. Si se trata de un servidor que solo deben consultar los anfitriones de la red local, o bien que se utiliza para propagar dominios hospedados localmente, es conveniente tomar medidas al respecto.

Solución al problema: en el fichero /etc/named.conf se añade en la sección de opciones (options) una línea que defina la red, las redes o bien los ACL que tendrán permitido realizar todo tipo de consultas.

Código:
options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        forwarders { 192.168.0.1; };
        forward first;
        allow-recursion { 127.0.0.1; 192.168.0.0/24; };
};

Lo anterior hace que solo 192.168.0.0/24 pueda realizar todo tipo de consultas en el DNS, ya sea para un nombre de dominio hospedado localmente y otros dominios resueltos en otros servidores (ejemplo: http://www.yahoo.com, http://www.google.com, http://www.alcancelibre.org, etc). El resto del mundo solo podrá realizar consultas sobre los dominios hospedados localmente y que estén configurado para permitirlo.

Código:
options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        forwarders { 192.168.0.1; };
        forward first;
        allow-recursion { 127.0.0.1; 192.168.0.0/24; };
};

zone "." IN {
        type hint;
        file "named.ca";
};

zone "miredlocal" {
        type master;
        file "miredlocal.zone";
        allow-update { none; };
        allow-query { 192.168.0.0/24; };
        allow-transfer { 192.168.0.2; };
};

zone "midominio.com" {
        type master;
        file "midominio.com.zone";
        allow-update { none; };
        allow-transfer { 200.76.185.252; 200.76.185.251; };
};

Una configuración como la anterior hace lo siguiente:

*

Red Local: cualquier tipo de consulta hacia dominios externos y locales (es decir, http://www.yahoo.com, http://www.google.com, http://www.alcancelibre.org, además de midominio.com).
*

Resto del mundo: solo puede hacer consultas para la zona de midominio.com

De este modo se impide que haya consultas recursivas y con esto impedir la posibilidad de sufrir/participar de un ataque DDoS.

Si en la configuración de named.conf está presente lo siguiente:

query-source address * port 53;

Debe eliminarse para permitir utilizar números aleatorios para definir los puertos que se utilizarán para realizar las consultas.

Aporte Original por: Ethical_Ov3r

Muy Bueno saludos!
#9
1+ muy bueno
#10
Excelente buscaba esto hace 2 meses , muchas gracias Gran sonrisa


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  Directivas para evitar el escaneo de tu web (posible hacking) alberto_es 21 2,231 09-10-2015, 11:59 AM
Último mensaje: zapikero
  Ataques sqlinject, que son(para novatos) forsa 11 721 21-06-2015, 07:13 AM
Último mensaje: habacuc78
Información Método PHP para evitar el uso de HTML en un form drako 11 1,453 07-03-2014, 01:01 AM
Último mensaje: KeviNxDTM
  Directiva .httacess Anti DDOS Andryus 10 1,175 03-09-2013, 01:53 AM
Último mensaje: KeviNxDTM
  Guía para controlar un ataque de DDOS Kevin9908 22 2,371 09-06-2013, 07:15 PM
Último mensaje: ronalsito
  como evitar hackeos? phpost matyimpact 19 1,637 23-05-2013, 04:53 PM
Último mensaje: MrLoco
  Evitar la caché de los navegadores con PHP diringax 6 907 22-03-2013, 09:55 PM
Último mensaje: Drod
  5 errores que debemos evitar al escribir código shackur 11 1,184 12-01-2013, 05:51 PM
Último mensaje: natestale
  [TUTORIAL] Como evitar el Hotlinkeo (robo de imágenes) Taquion 8 1,716 12-01-2013, 05:50 PM
Último mensaje: natestale
  Anti DDoS diringax 7 1,098 02-06-2012, 08:49 PM
Último mensaje: Alianza



Usuarios navegando en este tema: 1 invitado(s)