ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

采取更多措施防止 DNS DDoS 攻击

2013 年 04 月 3 日
作者: Dave Piscitello

Dave Piscitello,ICANN 安全小组代表

最近几周,多家知名组织和金融机构受到重大攻击,使其服务中断。在这些攻击中,有些从特征上与 2006 年顶级域名服务器受到的攻击类似。2006 年发生攻击事件后不久,ICANN 安全与稳定咨询委员会发布了一份咨询报告 SAC008 [PDF, 963 KB]:分布式拒绝服务 (DDoS)攻击。直到今天,该咨询报告中的建议仍然适用。

我们希望私人组织、服务运营商和政府仔细考虑 SAC 008 中的建议,其中介绍了抵御 DDoS 攻击的已知最好的方法。

“减轻大量 DoS 攻击造成的影响…最有效的方法是采取来源 IP 地址验证”– SAC008

DDoS 攻击通常使用未分配给订阅者的 IP 地址或保留/私人空间的 IP 地址,使人们很难识别攻击流量的来源。这就叫做 IP 地址欺诈。访问服务提供商或公司应该应用网络入口过滤(说明详见 SAC004;在 BCP038 中 Internet IAB 也有推荐)来防止欺诈。压制源头附近的攻击流量的另一项好处是,可以解除 ISP 转发恶意或犯罪流量的情况。如果所有运营商将欺诈性来源地址过滤掉,那么每个人都将受益匪浅,但攻击者除外。

“关于对策的文档运作政策…可保护[您的]域名服务器基础设施免受攻击以避免[您]提供服务的能力受到威胁,在实施此类措施时发出通知,以及确定受影响的各方为终止措施而需要采取的行动。” – SAC008

我最近撰写了一篇名为”为迎接(不可避免的)DDoS 攻击做好准备“的文章,其中介绍了组织应如何制定政策并准备攻击应对措施。

“禁用域名服务器上来自外部来源的开放递归,并且只接受来自受信任来源的 DNS 查询,这有助于缩减 DNS DDoS 攻击的放大范围。”– SAC008

当启用 DNS 服务器的开放递归时,该服务器将接受来自任意客户端(任意 IP 来源地址)的 DNS 查询。攻击者在 DDoS 攻击和放大攻击中会利用开放递归服务器。US-CERT 通告 TA13-088A 建议所有 DNS 运营商:

  • 禁用授权域名服务器的递归
  • 限制授权客户端的递归,以及
  • 划分递归域名服务器的限制响应级别

通告 TA13-088A 还提供了一些方法,所有组织都可以使用这些方法来测试自己的任何域名服务器是否为开放式解析器,并列出了针对重要操作系统和域名服务器软件说明需要采取的措施的资料。(注:TA13-088A 没有关于 Microsoft DNS 服务器的资料,请查看此处。)

ICANN 安全小组希望您能帮助抵御这种日益增长的威胁,以维持安全性、稳定性和灵活性。

Authors

Dave Piscitello