Pendant le week-end, j'ai fait des tests pour simuler une attaque DDO d'amplification DNS. Envoi d'environ 90 Mo/s de trafic que j'ai pu générer sur le trafic amplifié X.x GB/S qui a envoyé notre datacenter hors ligne en secondes. Maintenant que ce type d'attaque devient populaire tous les jours, je suis curieux de connaître les meilleures pratiques pour l'atténuer. Quelqu'un a-t-il eu l'expérience d'atténuer l'amplification DNS DOS Attack?
----- Modifier les solutions de contournement possibles -----
Demander au fournisseur de bloquer le trafic entrant avec le port source 53.
(Suggéré par @rook) avoir de gros gars comme Cloudflare, Akmai ou Verisign pour le gérer pour vous, ce qui peut coûter, mais peut être très efficace lorsque le fournisseur n'est pas capable d'aider.
(Suggéré par @ user24077) pour implémenter une stratégie de routage/de filtrage de trous noirs de déclenchement à distance qui, pour mon avis, peut être efficace mais risquée car vous pouvez finir par perdre la bande passante complète tout en essayant de protéger un nœud ou un client.
Dans le passé, j'ai mis en œuvre des techniques de routage/de filtrage des trous noirs de déclenchement à distance sur les routeurs de bord face à Internet. Cette technique a été prouvée efficace, elle peut être mise en œuvre sur la base du trafic source ou de destination, voici un lien pour vous à référencer si vous souhaitez creuser davantage. Facile à mettre en œuvre et rentable.
http://www.cisco.com/web/about/security/intelligence/blackhole.pdf
La liste des étapes d'atténuation de l'amplification DNS pris directement à partir de l'extrait de l'article Amplification DNS et DNSSEC .
Ne placez pas les résolveurs DNS ouverts sur Internet. Limiter les clients pouvant accéder au résolveur diminue considérablement la capacité d'un attaquant à l'utiliser malicieusement. Cela peut être accompli avec des règles de pare-feu, des listes d'accès IP de routeur ou d'autres méthodes.
Empêchez l'entrepoiffage d'adresse IP en configurant le transfert de trajet inverse de Unicast (URPF) sur des routeurs de réseau. Un routeur configuré pour utiliser URPF (défini dans RFC3074) limite la capacité d'un attaquant aux paquets de spoof en comparant l'adresse source du paquet avec ses tables de routage internes pour déterminer si l'adresse est plausible. Sinon, le paquet est jeté.
Déployez un appareil de système de prévention de l'intrusion (IPS) ou surveiller le trafic DNSSEC d'une manière ou d'une autre. Grand nombre de paquets sortants avec la même adresse cible, en particulier dont le comptage soudain soudainement est un bon indicateur d'une attaque active. Déploiement de filtres à déposer, limiter ou retarder les paquets suspects entrants devraient réduire l'impact de l'attaque sur le réseau local et la cible d'attaque. Comme mentionné précédemment, les serveurs Windows DNS déposent des paquets d'intervention inégalés et les logent dans des compteurs de performance et de statistiques. Il est important de surveiller régulièrement ces comptoirs.