我想知道是否将ACL访问限制为允许recursion的名称服务器,最糟糕的情况是有人在ACL中的任何允许的主机上启动了dns放大。
例如:
ACL allow access to 11.111.111.11 and 22.222.22.222
22.222.22.222理论上可以在11.111.111.11发起dns放大攻击?
从ACL中删除攻击者的IP地址不会阻止放大攻击。 由于放大攻击涉及IP欺骗,服务器永远不会看到攻击者的真实IP地址。 相反,服务器将只能看到受害者的IP地址。
如果从ACL中删除受害者的IP地址,将会阻止放大攻击,假设ACL机制得到合理实施。
这意味着你不能以这种方式保护你的合法用户。 但是,如果您只有一个知名的合法用户,您可以确保您的DNS服务器不会被滥用来对第三方执行放大攻击。 这也可能会减lessDNS服务器上的负载,因为任何想要执行放大攻击的人都会通过向您的服务器发送数据包来浪费自己的带宽。
如果您完全控制每个合法客户端和您的DNS服务器之间的networkingpath,则可以在客户到达服务器之前过滤欺骗数据包。
如果您设置ACL以允许访问11.111.111.11和22.222.22.222,这意味着任何能够欺骗这些源(如您的服务器所见)的人都可以使用您的服务器攻击11.111.111.11或22.222.22.222。 这个人可能可以使用世界上任何开放的DNSparsing器来做同样的事情。
如您的服务器所示,欺骗数据包意味着让您的服务器看到源地址为11.111.111.11或22.222.22.222的数据包,即使该服务器从未发送该数据包。 许多ISP设法在networking边缘进行反欺骗,丢弃来自外部的表明他们来自内部的分组,并且还为他们的客户提供反欺骗,使得他们的客户端根本不能欺骗IP。 如果您的ISP这样做,那么外部IP只能欺骗(并使用DNS放大来攻击)外部IP。 如果DNSparsing器只回答来自内部IP的查询,那么没有问题。
因此,最佳做法是仅向您控制的IP提供DNSparsing服务,并在networking级应用反欺骗。
有关更多信息,请参阅
https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/
但不要犹豫,澄清你的问题(你有什么问题,你是ISP,公司还是家庭用户……)
编辑,因为我的后续评论太长了:
我认为禁止任何请求可能会降低滥用的机会,因为你可能不是任何具体的东西的对象。 所以,如果攻击者使用任何请求,阻止他们将通过你停止攻击,攻击者不会关心甚至通知。 但是你应该做的是限制使用ACL发出请求的权利,包括只有你的朋友的IP,如上所述。 那么你将不会是一个开放的parsing器。 要么是木马欺骗了一个不属于你的朋友的IP,而且你也不会回复它,或者有一个怪异的机会,你的一个朋友会因为你的好友而受到攻击,但是只要你没有几百万的朋友应该没问题。
我会预料到你的问题:你的朋友有dynamic的IP。 这并不容易回答。 如果有一个令人信服的理由,你的朋友不能使用他们的DHCP提供的DNS服务器,或者像OpenDNS或谷歌的8.8.8.8或完整的VPN,我认为类似dnscrypt可能是解决scheme。
当然,如果你的朋友受到攻击,担心他们的DNS安全性应该可能占据第二位的主机安全。