DNS増幅DDOS攻撃

CERTはこれを DNSの脆弱性 として認識します。現状では、この攻撃で使用される可能性のある約 2700万の誤った構成（読み取り：デフォルト！）DNSサーバー があります。

理想的には、これらのUDPパケットがEdgeルーター（プロバイダー）でフィルター処理することによって宛先に到達しないようにする必要があります。残念ながら、多くのプロバイダーがこのサービスを提供していません。 Cloudflare この方法を使用して、この攻撃を緩和します。

別の方法は GEO IPベースのロードバランシング を使用することです。これは多くのCDNの背後にある魔法であり、DNSはあなたに最も近いサーバーを解決します。 DoS攻撃では、これは負荷を分散し、停止を特定のリージョンに分離するのに役立ちます。 DNS増幅攻撃を防ぐためにDNSを使用することには、いくつかの優雅さもあります。

最終的に、DNS増幅に使用されるサーバーは適切に構成されます。しかし、このソリューションが実現してから10年以上経っている可能性があります。

ほとんどの人にとって、cloudflareやakamaiなどのサービスを使用することが最善のソリューションです。

過去に、リモートインターネットに接続しているルーターにリモートトリガーブラックホールルーティング/フィルタリング技術を実装しました。この手法は効果的であることが証明されており、送信元または宛先のトラフィックに基づいて実装できます。さらに掘り下げたい場合に参照できるリンクがあります。実装が簡単で費用対効果が高い。

http://www.Cisco.com/web/about/security/intelligence/blackhole.pdf

記事 DNS増幅とDNSSEC の抜粋から直接取られたDNS増幅の緩和ステップのリスト。

インターネット上にオープンDNSリゾルバーを配置しないでください。リゾルバーにアクセスできるクライアントを制限すると、攻撃者が悪意を持ってそれを使用する能力が大幅に低下します。これは、ファイアウォールルール、ルーターIPアクセスリスト、またはその他の方法を使用して実現できます。

ネットワークルーターでユニキャストリバースパス転送（URPF）を構成することにより、IPアドレスのスプーフィングを防止します。 URPF（RFC3074で定義）を使用するように構成されたルーターは、パケットの送信元アドレスと内部ルーティングテーブルを比較して、アドレスが妥当かどうかを判断することにより、攻撃者がパケットを偽装する能力を制限します。そうでない場合、パケットは破棄されます。

侵入防止システム（IPS）デバイスを展開するか、何らかの方法でDNSSECトラフィックを監視します。同じターゲットアドレスを持つ多数の発信パケット、特にその数が突然急増する場合は、アクティブな攻撃の良い指標です。フィルターを導入して、疑わしい着信パケットをドロップ、制限、または遅延させると、ローカルネットワークおよび攻撃対象に対する攻撃の影響を軽減できます。前述のように、Windows DNSサーバーは、一致しない応答パケットをドロップし、パフォーマンスおよび統計カウンターに記録します。これらのカウンタを定期的に監視することが重要です。