Red de conocimiento informático - Conocimiento del nombre de dominio - Cómo atacar DNS Cómo atacar DNSddos

Cómo atacar DNS Cómo atacar DNSddos

¿Qué es el secuestro de DNS y un resumen de los métodos comunes de secuestro de DNS?

El secuestro de DNS, también conocido como secuestro de nombres de dominio, se refiere al uso de otros métodos de ataque (como el secuestro de enrutadores o servidores de nombres de dominio, etc.) para alterar los resultados de la resolución de nombres de dominio. ), alterar los resultados de la resolución de un determinado nombre de dominio, convertir la IP a la que apunta el nombre de dominio en otra IP, provocar que el permiso para acceder al sitio web correspondiente sea secuestrado a otro sitio web inaccesible o falso, robando así ilegalmente información del usuario o destruyendo el propósito normal de los servicios de red.

Estos son los primeros pasos del proceso.

Con el monitor de sitios web iis7, puede ingresar su nombre de dominio y verificar inmediatamente si su sitio web ha sido secuestrado, y los resultados de la consulta son en tiempo real y puede utilizar los resultados de la consulta para optimizar mejor su sitio web. .

Significados comunes:

Método 1: uso del servidor DNS para ataques DDOS

Método 2: infección de la caché de DNS

Método 3: DNS Secuestro de información

Método 4: redirección DNS

Método 5: suplantación de ARP

Método 6: secuestro local

Cómo realizar la protección DNS ?

1. Autorice al servidor DNS a limitar la función de consulta recursiva del servidor de nombres, y el servidor DNS recursivo limita el acceso recursivo del cliente (habilite segmentos IP de la lista blanca)

2. Restringir transferencia de zona zonetransfer, main Habilitar la lista blanca de servidores DNS dentro del rango de sincronización. Los servidores DNS que no están en la lista no pueden sincronizar archivos de zona

allow-transfer{};

allow-. actualizar{};

permitir actualización{};

permitir transferencia{};

permitir actualización{};

p>

3. Habilite listas blancas y negras

Agregue IP de ataque conocidas a la lista negra de Bind, o configure el firewall para denegar el acceso;

Establezca direcciones IP a las que se permite acceder a través de acl Segmento de IP;

Establezca el segmento de IP al que se puede acceder a través de acl;

4. Ocultar la información de la versión de BIND;

5. permisos de root BIND;

4.>Elimine otros servicios innecesarios en DNS. Servicios como Web, POP, Gopher, NNTPNews, etc. no deben instalarse al crear un sistema de servidor DNS.

Se recomienda no instalar los siguientes paquetes:

1) X-Windows y paquetes relacionados; 2) Paquetes de aplicaciones multimedia 3) Cualquier lenguaje de programa de interpretación de scripts y compiladores innecesarios; 4) cualquier editor de texto innecesario; 5) programas cliente innecesarios; 6) otros servicios de red innecesarios. Asegúrese de que el servicio de resolución de nombres de dominio sea independiente; no se pueden abrir otros servicios de puerto en el servidor que ejecuta el servicio de resolución de nombres de dominio al mismo tiempo. Los servicios de resolución de nombres de dominio autorizados y los servicios de resolución de nombres de dominio recursivos deben proporcionarse de forma independiente en diferentes servidores;

7. Utilice dnstop para monitorear el tráfico DNS

#yuminstalllibpcap-develncurses-devel

Descargar código fuente/tools/dnstop/src/dnstop-20140915.tar.gz

#;

9. Mejorar el servidor DNS para evitar Dos/DDoS

Usar SYNcookie

Aumentar el trabajo pendiente puede ralentizar hasta cierto punto el bloqueo de la conexión TCP causado por una gran cantidad de solicitudes SYN

Acortar el número de reintentos.

Acorte el número de reintentos: tcp_synack_retries predeterminado de Linux es 5 veces

Limita la frecuencia de SYN

Evita ataques SYNAttack: #echo1gt /proc/sys/net/ipv4/tcp_syncookies Añade esto comando Vaya al archivo /etc/rc.cc.html.etc/rc.d/rc.local;

10: Supervise si el protocolo del servicio de nombres de dominio es normal, es decir, utilice el servicio correspondiente acuerdo o utilice la herramienta de prueba correspondiente Inicie una solicitud de simulación al puerto de servicio y analice los resultados devueltos por el servidor para determinar si el servicio actual es normal y si los datos de la memoria han cambiado. Si las condiciones lo permiten, se pueden implementar múltiples puntos de detección en diferentes redes para el monitoreo distribuido;

11. La cantidad de servidores que brindan servicios de nombres de dominio no debe ser inferior a 2, y se recomienda que la cantidad de servidores independientes Los servidores de nombres de dominio serán 5 torres. Se recomienda implementar servidores en diferentes entornos de red físicos; utilizar sistemas de detección de intrusiones tanto como sea posible para detectar ataques de intermediarios; implementar equipos antiataques alrededor del sistema de servicios de nombres de dominio para hacer frente a dichos ataques; análisis y otras herramientas para detectar ataques DDoS para que se puedan tomar medidas oportunas Medidas de emergencia;

12: Limitar el alcance del servicio recursivo y solo permitir que los usuarios en segmentos de red específicos utilicen el servicio recursivo;

13: Centrarse en monitorear la resolución de nombres de dominio importantes una vez que se encuentre la resolución. Proporcionar alertas oportunas cuando los datos cambien;

14. sistema. Se deben conservar todos los registros de resolución de los últimos tres meses. Se recomienda adoptar un mecanismo de mantenimiento 7×24 para sistemas de información de nombres de dominio importantes para garantizar que la respuesta de emergencia a la escena no pueda tardar más de 30 minutos.

¿Cuáles son las ideas para la protección contra ataques DDOS?

1. Cuando utilice equipos de red de alto rendimiento, primero debe asegurarse de que el equipo de red no se convierta en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alto rendimiento. visibilidad y buena reputación. Sería mejor si tuviera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, pedirles que restrinjan el tráfico en la interfaz de la red es muy eficaz para combatir ciertos tipos de ataques DDOS.

2. Intente evitar el uso de NAT, ya sea un enrutador o un dispositivo de pared de protección de hardware, trate de evitar el uso de NAT de traducción de direcciones de red, porque el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. La razón es simple, porque NAT necesita traducir direcciones de un lado a otro, y los paquetes de red deben verificarse y calcularse durante el proceso de traducción, por lo que se desperdicia mucho tiempo de CPU. Pero a veces es necesario utilizar NAT, lo cual es difícil de manejar.

3. Se garantiza suficiente ancho de banda de la red. El ancho de banda de la red determina directamente la capacidad de resistir ataques. Si solo hay 10M de ancho de banda, será difícil luchar contra el ataque SYNFlood actual sin importar las medidas que se tomen. Actualmente, debe haber al menos 100M **** Para disfrutar del ancho de banda, lo mejor es colgarse de la línea troncal de 1000M. Sin embargo, debe tenerse en cuenta que el hecho de que la tarjeta de red del host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, y si está conectado a. Para un conmutador de 100 M, su ancho de banda real no excederá los 100 M. Es equivalente a un ancho de banda de 100 M, porque es probable que el proveedor de servicios de red limite el ancho de banda real en el conmutador a 10 M. Esto debe entenderse claramente.

4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, actualice la configuración del hardware tanto como sea posible para resistir eficazmente 100.000 paquetes de ataques SYN por segundo. : P42.4G/DDR512M/SCSI-HD, las funciones clave son principalmente CPU y memoria. Si tiene una CPU dual, úsela. La memoria debe elegir la memoria DDR de alta velocidad y el disco duro debe intentar elegir SCSI. No codicies ciegamente el precio del IDE. No es caro, pero debe ser lo suficientemente barato; de lo contrario, pagarás un alto precio por el rendimiento. Además, la tarjeta de red debe ser de una marca famosa como 3COM o Intel. Si es Realtek, úsalo en tu propia PC.

5. Cambie el sitio web a una página estática. Muchos hechos han demostrado que cambiar el sitio web a una página estática tanto como sea posible no solo puede mejorar en gran medida la capacidad de resistir ataques, sino que también traerá muchos beneficios. Problemas para los piratas informáticos, al menos hasta ahora, la proliferación de HTML no ha aparecido, ¡eche un vistazo! Los sitios web de portales como Sina, Sohu y NetEase se basan principalmente en páginas estáticas. Si no es necesario llamar a scripts dinámicos, colóquelos en otro host separado para evitar que incluso el servidor principal sea atacado. apropiadamente, todavía son posibles los scripts que realizan llamadas a la base de datos. Además, es mejor denegar el acceso usando un proxy cuando necesite llamar a un script de base de datos, porque la experiencia demuestra que usar un proxy para acceder a su sitio web es 80% malicioso.

6. Mejore la pila de protocolos TCP/IP del sistema operativo Win2000 y Win2003, como sistemas operativos de servidor, tienen cierta capacidad para resistir ataques DDOS, pero no están habilitados de forma predeterminada. el paquete de software Puede resistir alrededor de 10,000 ataques SYN. ​​Si no abre el paquete de software, solo puede resistir unos cientos. ¡Compruebe usted mismo cómo abrirlo! ¡Artículo de Microsoft! Fortalecer la seguridad de la pila de protocolos TCP/IP. Algunas personas pueden preguntar, ¿qué debo hacer si uso Linux y FreeBSD? ¡Es fácil, lee este artículo! Cookies de sincronización.

7. Instale un firewall anti-DDOS profesional

8. Otras sugerencias de medidas de defensa contra DDOS son adecuadas para la gran mayoría de usuarios que tienen sus propios hosts. Si toma las medidas anteriores, todavía no podrá Resolver los problemas de DDOS es un poco problemático. Es posible que deba invertir en más servidores y aumentar el número de rondas de DNS o adoptar tecnología de equilibrio de carga, o incluso comprar equipos de conmutación de capa siete. Necesita invertir en equipos de conmutación de capa 7, lo que aumenta exponencialmente su resistencia a los ataques DDOS si invierte lo suficiente.