Как справиться с жалобой на злоупотребление?
Я только что получил жалобу о нарушении от моего хостинга:
[2014-04-04 03:30:23 CET] [Метка времени:1396575024] [11717182.634230] Брандмауэр: UDP_IN заблокирован IN=eth0 OUT= SRC=Мой IP DST = 128.204.203.251 LEN = 70 TOS = 0x00 PREC = 0x00 TTL = 118 ID = 6181 DF PROTO = UDP SPT = 53 DPT = 52117 LEN = 50
Как мне решить эту проблему?
2 ответа
Сначала нужно спросить, действительно ли пакет изначально был получен с вашего хоста. Подмена IP-адреса источника происходит постоянно, и без учета этой записи в журнале ничего не говорится о подлинности IP-адреса источника.
Следующий вопрос, если вы используете DNS-сервер на этом хосте. Если на этом хосте нет DNS-сервера, то зарегистрированный пакет, скорее всего, подделан. И тогда это то, что вы должны объяснить хостинг-провайдеру.
Если вы используете DNS-сервер, то этот пакет может быть реальным, но это не обязательно означает, что есть основания жаловаться на него. Вы должны спросить себя, нужно ли вам запускать DNS-сервер. Если вы используете DNS-сервер, который вам в первую очередь не нужен, его отключение было бы хорошей идеей, независимо от жалобы.
Теперь давайте на минутку предположим, что у вас есть причина для запуска DNS-сервера, и что пакет действительно произошел от вашего DNS-сервера. Значит ли это, что вам нужно что-то сделать?
В этом случае вам следует подумать о том, чтобы ваш DNS-сервер не использовался во время атак усиления. Однако вышеприведенный пакет не выглядит так, как будто он был частью атаки усиления. При атаке с усилением вы ожидаете увидеть пакеты размером не менее 512 байт или 4 КБ, если ваш DNS-сервер поддерживает это. Размер зарегистрированного пакета составляет всего 50 байт, что является крошечным сравнением.
Если вы используете DNS-сервер, наиболее вероятным объяснением приведенной выше записи журнала является неправильная настройка брандмауэра, который создал запись журнала. Скорее всего, произошел настоящий законный DNS-запрос и вернулся законный DNS-ответ. Но брандмауэр по какой-то причине потерял запись отслеживания соединения до того, как ответ вернулся.
Также формулировка намекает на то, что они отбросили пакет, а не отправили ошибку ICMP обратно. Ошибки ICMP - это один из инструментов, который можно использовать для обнаружения спуфинговых атак и активизации контрмер.
Если DNS-серверы применяют все лучшие контрмеры против атак амплификации, которые технически возможны, то блокировка неожиданных пакетов UDP без отправки ошибок ICMP была бы равносильна запросу на атаку.
Какие части моих рассуждений имеют отношение к вашему делу, зависит немного от деталей. Но я надеюсь, что хостинг-провайдер поймет, что жалоба недействительна, когда им будут представлены нужные части.
Исходный IP - это вы, исходный порт - 53 (DNS). Похоже, у вас есть DNS-сервер, который открыт для запросов извне. Это может быть предназначено для использования, например, для предоставления DNS для ваших собственных поддоменов, но это также может быть неправильно настроенный DNS-сервер, который можно использовать для атак с усилением DNS, которые затем можно использовать для (D) DOS-атак на другие хосты.
Поэтому лучше проверить, нужен ли вам локальный DNS-сервер и должен ли он быть открыт для запросов извне. Если вам нужен сервер с открытым доступом для разрешения ваших собственных (под) доменов, по крайней мере, убедитесь, что он не может использоваться для рекурсивных запросов.
Для получения дополнительной информации посетите https://www.us-cert.gov/ncas/alerts/TA13-088A или http://help.1and1.com/servers-c37684/parallels-plesk-c37703/protect-against-dns-amplification-attacks-a791842.html