В любом случае я могу исправить спуфинг DNS с нашего домена

Похоже, вам нужно реализовать DNSSEC.

Поскольку вы не дали много подробностей о вашей настройке, трудно порекомендовать программное решение, но поиск в DNSSEC с вашей текущей настройкой должен дать вам несколько хороших уроков о том, как это сделать.

Вы абсолютно уверены, что это атака отравления кэша?

Каждый широко используемый рекурсивный DNS-сервер в Интернете уже давно внедрил исправление к CVE-2008-1447, что делает практически невозможным описываемое вами широкомасштабное отравление.

Не совсем невозможно, так как рандомизация исходного порта просто заставляет атаку предпринять в 2^16 раз больше попыток успешно отравить. Развернуть атаку на несколько авторитетных серверов имен с большими объемами транзакций одновременно? Это настоящий подвиг. Поправьте меня, если я ошибаюсь, но ваш домен, вероятно, недостаточно важен в Интернете, чтобы быть лучшей целью для этой атаки; злоумышленники с такой способностью будут просто ударить google.com вместо.

Гораздо более разумным или вероятным объяснением является изменение в делегировании домена, которое серверы OpenDNS еще не обнаружили из-за кэширования. Срок действия домена истек или кто-то, имеющий доступ к регистратору, внес необдуманные изменения в параметры делегирования сервера имен?

Изменить свой TLD? Это экстрим Какой у тебя TTL? Ваш вид зависит от того, как другие DNS-серверы истекают ваши записи, прежде чем кто-либо из них потрудится найти новые, не кэшированные записи. Если вы установили свои записи A на неделю, никто не увидит изменения за неделю, если они будут кэшированы. Я всегда устанавливаю свои записи A на самое низкое значение для подобных ситуаций или использую CloudFlare, который позволяет мне изменять их на лету.

4.2.2.2 и 4.2.2.1 являются DNS-серверами 3-го уровня для их сети, в действительности они не должны использоваться Интернетом в целом. Таким образом, они не являются репрезентативными для инфраструктуры DNS Интернета в целом. Я использую DNSStuff.com для выполнения всех моих тестов / поисков, так как они не кэшируются.

Кроме того, вместо OpenDNS проще набирать Google (8.8.8.8, 8.8.4.4), независимо от ваших личных убеждений между ними.

Рекомендация DNSSEC является поспешной. Вы рискуете решить не ту проблему и зацепите себя тяжелым бременем на техническое обслуживание.

Сначала проверьте эти вопросы:

• Какие у вас доказательства того, что отравление является вашей проблемой?
• На каких преобразователях DNS вы видите искаженное разрешение?
  • несколько резольверов?
  • от разных провайдеров? -> вряд ли отравление
  • на какие фиктивные IP-адреса они привязаны? Все так же? -> Вероятная проблема на вашем авторитете
• Какую информацию SOA для ваших "отравленных" зон вы получаете от отравленных резольверов?

Отравление DNS-кэша в наше время встречается реже. Если вас беспокоят незначительные шансы на это, лучше использовать DNSCurve. Вот как это сравнивается с DNSSEC:

• прокси CurveDNS занимает 10 минут для установки
• после установки обслуживание вашего авторитетного DNS не изменится
• вы не подвержены атакам усиления
• это фактически развернуто в большом количестве пользователями DNS (OpenDNS)

Вы не можете многое сделать с серверами, не находящимися под вашим контролем.

Постарайтесь понять, как это произошло - отравление сейчас не легкое, там должна быть какая-то дыра. Проверьте родительские NS-делегации. Проверьте все свои аутентификации. сервера. Свяжитесь с Level3, скажите им, что их серверы отравлены - попросите их очистить кэш для вашего домена, но, надеюсь, они выяснят причину. Может быть, их серверы скомпрометированы, и это не только ваш домен.

также см. TTL. Если это преднамеренное отравление, TTL должен быть очень большим (если на Level3 не установлен максимальный TTL). Вы увидите, когда он истечет, а затем проверьте, не повторится ли это снова.

И поставить его на улицу, чтобы люди наконец начали внедрять DNSSEC.