特権ポート(<1024)からの着信トラフィックをブロックしてDNS DDos増幅攻撃を軽減
誰かが明確にできることを願っています。
私が理解しているように、DNS DDos増幅攻撃
- 複数のDNSクエリが脆弱なネームサーバーに送信され、ソースIPはターゲットサーバーのIPになりすまされます。
- ネームサーバーは、応答(ソースポートUDP 53)をターゲットサーバーに返します。
- ターゲットサーバーに対して、ネームサーバーはソースポートUDP 53との接続を開始しました
ターゲットサーバーのファイアウォールについて、ソースポート53ですべての発信トラフィックをブロックすることは意味がありますか?実際、1024未満の送信元ポートを持つ着信トラフィックをブロックできますか?
はい!
サーバーが再帰サーバーである場合は、ソースポートに関係なく、不明または信頼できないソースからのすべてのクエリをブロックします。 53のソースポートを使用して、信頼できるソースからのクエリもブロックする必要があります。
サーバーが信頼できるサーバーである場合は、はい、送信元ポートが53のクエリをブロックする必要があります。
実際、特権のある送信元ポート、および一部の非特権の送信元ポートでさえもクエリをブロックする必要があります。たとえば、5060(SIP)もブロックするのに適したソースポートです。
理由は次のとおりです:
サーバーはその回答をソースIPとポートに送り返します。 UDPの性質上、どちらも偽造される可能性があります。
サードパーティのネームサーバーに対するDDoS攻撃では、攻撃者は被害者のIPと被害者のサービス(DNS)ポート(UDP 53)を偽造し、サーバーにクエリを送信する可能性があります。その後、サーバーは(はるかに大きい)回答を被害者のサーバーに送信し、無意識のうちにDDoS攻撃自体の武器になります。
非常に大多数のネームサーバーは、ランダムな非特権ソースポートからクエリを送信します。クエリがUDP 53からのものであると主張しているという事実自体が、それ自体が悪意のある強力なインジケータです。
この方法でブロックしても、サーバーをDDoSの被害者から保護することはできませんが、サーバーがDDoSの実行に使用されるのを防ぐのに役立ちます
送信元ポート53ですべての発信トラフィックをブロックしても問題は解決しません。
DNS増幅攻撃は一種のボリュームのあるDDOS攻撃であり、ファイアウォールが悪質なトラフィックをどれほどブロック/処理できるかに関係なく、パイプラインはバーストされます。
DNSスプーフィングトラフィックをインターネットエッジのできるだけ近くでブロックする必要があります。
- スプーフィングされたアドレスを持つDNSトラフィックを拒否する方法については、ISPに問い合わせてください
- ルーターがブラックホールルーティングを処理できる場合は、インターネットエッジルーターにブラックホールルーティングを実装する
あなたがあなたのウェブサーバーであるなら、 CloudFlare のようなサービスにサブスクライブしてみてください、彼らはそのような大きなボリュームのDDoS保護を処理できるはずです