WebHostingTalk.LT

[Artūras-M]

Open DNS problema žinoma seniai. Nori uždosinti serverį kuriame sukasi DNS serveris, reiškia duodi vienu metu užklausą vardo kuris yra palaikomas tame serveryje sakykim kokiem 300 skirtingų serverių kurie leidžia viešas užklausas. Nežinau ar tiek užteks, nebandžiau, nors ne kartą mano serveriai buvo tokiu būdu prispausti
Problemos sprendimas „per užpakalį“ kalbant liaudiškai. Tai yra viešų užklausų uždraudimas „recursive lookups“. Mano manymu toks sprendimas yra neetiškas ir labai įdingas. Iš idėjops, DNS yra viešas servisas iš prigimties. Tai tas pats, kas telefono knyga pagal vardą ir pavardę. Liaudiškai kalbant, norint kad vaikas nedarytų į kelnes, jam reikia neduoti valgyti 
Mano įsitikinimu, sprendimas turėtų būti kitoks. Tai yra labai nesunku fiksuoti iš kur atėjo užklausos sugeneravę daugybę UDP paketų vienam nuskriaustam serveriui. Suvedus rezultatus išsiaiškinti ryšio tiekėją ir tokius ryšio tiekėjus traukti į Black list'ą. Kas nori apsisaugoti nuo DOS, naudojasi šiuo sąrašu ir automatiškai blokuoja bet kokį prisijungimą prie savo DNS ( o gal apskritai prie serverio). Iš esmės analogiškai SPM apsaugai. Gaunasi, kad nukentės tas, iš kieno tinklų buvo siunčiama inicijuojanti ataką užklausa. Tokiu būdu ryšio tiekėjai bus priversti savo kieme įvesti tvarką ir susitvarkyti savo DNS serverius, gal būt blokuoti prisijungimą prie svetimų DNS serverių.

[saint]

aha,

o kaip užfiksuoti iš kur atėjo? pvz turiu 10k open dns servų, kurie leidžia rekursiją ir paprašau jų pakutent tavo dns servą. gauni 10k užklausų iškart, kiekviena iš skirtingo servo. jūsų ėjimas?

blacklistai irgi nepadės. bo kai užspoofins normalų resolverį - tai jis ir bus įtrauktas į blacklistą.

taip pat galim užblokuoti visus dns serverius, kad negalėtų vienas prie kito jungtis (svetimi gi) - bus naudos daug, niekas negalės querinti ir dos'inti

[Artūras-M]

o kaip užfiksuoti iš kur atėjo? pvz turiu 10k open dns servų, kurie leidžia rekursiją ir paprašau jų pakutent tavo dns servą. gauni 10k užklausų iškart, kiekviena iš skirtingo servo. jūsų ėjimas?

Loguose matysiu servų IP kurie užklausė vienu metu. Parašius tų kelių DNS servų adminui manau labai greitai sužinosiu IP iš kurio buvo padaryta užklausa. Tą IP raportuoju black listui. Toliau jau niekadėjo provaiderio reikalas....

taip pat galim užblokuoti visus dns serverius, kad negalėtų vienas prie kito jungtis (svetimi gi) - bus naudos daug, niekas negalės querinti ir dos'inti

Esmė tame, kad yra masė DNS serverių stambių interneto tiekėjų kurie yra atviri ir nesiruošia užsidaryti. Ir norint dosinti, visiškai nereikia žiūrėti į mažus DNS serverius kurie palaiko ganėtinai ribotą vardų kiekį. Visų pirma jau vien dėl to, kad žymiai paprasčiau surasti blogietį būtent mažų serverių loguose. Tuo tarpu tokio TEO serveryje manau ta užklausa greičiau pranyktų

[saint]

berods tamstai neteko prižiūrėt rimtesnių dns serverių

na paprastai high volume dns serveriuose logingas yra tik failed. kiekvieną query logint - būtų absurdas.
antra - kol chebra susiruoš atsakyt apie tai, kas kada querino - tai praeis tiek mėn, kad logų nebebus.

o ar serveris palaiko milijonus vardų ar vieną - visiškai nesvarbu, darant recursive dos. ypač, kad dažnas adminas, kuris nemoka uždaryt recursinių queries - nemoka ir logingo įjungti.

[Artūras-M]

berods tamstai neteko prižiūrėt rimtesnių dns serverių

Interneto ryšio neteikiu, man tai tiesiogiai nėra aktualu. Dėl tvarkos savo DNS serveriuose esu uždraudęs recursines užklausas, tačiau man vis tiek sunkiai suvokiama, kodėl turėčiau tai daryti, jeigu internete milijonai stambių interneto tiekėjų Open DNS.

na paprastai high volume dns serveriuose logingas yra tik failed. kiekvieną query logint - būtų absurdas.

Loginti apache visas užklausas nėra absurdas, tuo tarpu DNS jau absurdas. Niekas neasko kad laikyti logus 5 metus. Bet bent savaitiniai nepamaišytų. [/quote]

antra - kol chebra susiruoš atsakyt apie tai, kas kada querino - tai praeis tiek mėn, kad logų nebebus.

Teisybė, kad abuse adresas yra proforma. Tačiau čia taip pat turi būti įvesta tvarka. Jeigu neatsako abuse, taip pat traukti į juodus sąrašus tame tarpe ir SMTP. Labai greitai po to į abuse gautus laiškus atsakinės tą pačią dieną, gal net tą pačią valandą