不正なクエリに対して BIND が応答コードを送信するのを停止できますか?

不正なクエリに対して BIND が応答コードを送信するのを停止できますか?

私は権威あるバインド DNS サーバーを実行しています。推奨されるすべてのプラクティスに従っており、私のサーバーは権威のみ (非再帰) で、レート制限が有効になっています。

BIND は、権限のないゾーンのクエリに対して REFUSE コードで応答します。レート制限は、サーバーが大規模な UDP 増幅攻撃に参加するのを防ぐ役割を果たしていますが、権限のないゾーンに対する応答はすべて排除したいと考えます。

これには設定オプションがありますか?

答え1

質問で説明されているシナリオ(潜在的な増幅攻撃における偽装クエリ、あるいはそのような攻撃でサーバーが使用可能かどうかの調査)では応答しないことは、実際に応答を待っているリゾルバーがないため問題ありませんが、問題は、クエリに応答しないことで実際の問題が発生する可能性があることと、提案されているソリューションが最初に説明したシナリオ(実際には存在しないゾーンが、偶然または意図的にネームサーバーに委任される可能性があることを考慮してください)よりも広範囲であることです。

クエリに応答しないことは、一般的に権威ネームサーバーにとって良い方法とは見なされません。その理由は次のとおりです。

  • リゾルバ サーバーは、自身の応答性を向上させるために、対応している権威サーバーの応答性/信頼性を追跡します。これは、クエリごとではなく、サーバーごとに行われます。つまり、正当なソースからの (おそらく誤った方向の) クエリに応答しない場合は、ネームサーバーの現在の信頼性を損なう可能性があります。リゾルバをだまして、ネームサーバーが完全にダウンしていると見なすように仕向けることも可能かもしれません (一時的ですが、何度も繰り返し実行する可能性があります)。
  • 応答しない場合は、「良い」クエリにも影響する可能性があります (たとえば、クエリ レートが高い場合など)。これにより、一見しただけでは明らかではない追加の問題が発生する可能性があります。たとえば、サービスする署名されていないゾーンに対するキャッシュ ポイズニング攻撃が成功する可能性が高くなります (特に、攻撃者がクエリをある程度確実にドロップできる場合)。

代わりに、攻撃者が求めている増幅を実際に提供しないように、応答のサイズを制限するのが一般的です (すでに行っているようです)。

  • ゾーンに一致しないクエリ(例のように)は空のREFUSED応答を受け取る必要があります(当時はルートの完全な参照応答を送信するのが一般的でした)
  • レート制限を実装する場合、TC応答しないのではなく、空の切り捨てられた(設定された)応答を送信したいと考えるでしょう。実際の正当なリゾルバサーバーがレート制限された場合でも、応答を受け取り、切り捨てられたフラグが付けられると、TCP経由でクエリを再送信することになります。
  • クエリANY型はそもそも実際の有用性が限られており、大量のレスポンスを生成する方法を避けるためにさらに制限されることもあります。(minimal-anyBIND内)
  • (そしてもちろん、インターネット全体では再帰を絶対に許可しません)

BINDで応答しないことに関しては、応答しないことを可能にする機能はレスポンスレート制限(RRL)であり、slipレート制限に達したときに切り捨てとドロップの比率を制御する構成パラメータがあります。ただし、ドロップは主にリゾルバサーバーに関係し、権威サーバーには関係しないことに注意してください(前述の説明のとおり)。これは、BINDマニュアルのRRLセクション:

(注: 権威サーバーからの応答がドロップされると、第三者が再帰リゾルバへの応答を偽造することが難しくなる可能性があります。偽造された応答に対する最善のセキュリティは、権威オペレータが DNSSEC を使用してゾーンに署名し、リゾルバ オペレータが応答を検証することです。これが選択できない場合、フラッド緩和よりも応答の整合性を重視するオペレータは、スリップを 1 に設定して、すべてのレート制限応答がドロップされるのではなく切り捨てられることを検討する場合があります。これにより、リフレクション攻撃に対するレート制限の有効性が低下します。)

異なるトレードオフが実際に意味をなすような悲惨な状況にある場合は、slipとにかく上記のノブを検討するか、または次のような異なるレート制限ノブを備えたツールを検討してください。dnsdistただし
、これが通常のバックグラウンド ノイズ レベルである場合、その問題に対処しようとすると、ほとんどメリットがなく、新たな問題を引き起こす可能性があります。

関連情報