권한 있는 바인드 DNS 서버를 실행 중입니다. 나는 모든 권장 사례를 따르고 있으며 내 서버는 속도 제한이 활성화된 상태에서만 권한이 있습니다(비재귀).
BIND는 REFUSE 코드를 사용하여 권한이 없는 영역에 대한 쿼리에 응답합니다. 속도 제한은 내 서버가 대규모 UDP 증폭 공격에 참여하는 것을 방지하는 작업을 수행하지만 권한이 없는 영역에 대한 모든 응답을 제거하는 것을 선호합니다.
이에 대한 구성 옵션이 있습니까?
답변1
질문에 설명된 정확한 시나리오(잠재적인 증폭 공격에서 스푸핑된 쿼리, 또는 그러한 공격에 서버를 사용할 수 있는지 조사)에서 응답하지 않지만 실제로 응답을 기다리는 확인자가 없기 때문에 문제는 괜찮습니다. 쿼리에 응답하지 않으면 실제 문제가 발생할 수 있으며 제안된 솔루션은 처음 설명한 정확한 시나리오보다 더 광범위합니다(실제로 가지고 있지 않은 일부 영역이 우연히든 의도적으로든 네임서버에 위임될 수 있다는 점을 고려하세요).
쿼리에 응답하지 않는 것은 일반적으로 권한 있는 네임서버에 대한 좋은 습관으로 간주되지 않습니다. 그 이유는 다음과 같습니다.
- 확인자 서버는 자체 응답성을 향상시키기 위해 처리 중인 권한 있는 서버의 응답성/신뢰성을 추적합니다. 이는 쿼리 단위가 아닌 서버 단위로 수행됩니다. 즉, 합법적인 소스의 쿼리(잠재적으로 잘못된 방향으로 전달)에 응답하지 않으면 현재 인식되는 네임서버의 신뢰성이 손상될 수 있습니다. 네임서버가 완전히 다운된 것으로 간주하도록 리졸버를 속이는 것이 가능할 수도 있습니다(일시적으로, 그러나 반복적으로).
- 응답하지 않으면 결국 "좋은" 쿼리에 영향을 미칠 수 있으며(예를 들어 높은 쿼리 속도를 기반으로 한 것일 수도 있음), 성공적인 캐시 중독 공격의 위험 증가와 같이 첫눈에 명확하지 않을 수 있는 추가 문제가 발생할 수 있습니다. 서비스를 제공하는 서명되지 않은 영역(특히 공격자가 쿼리 삭제를 어느 정도 안정적으로 유도할 수 있는 경우)
대신 일반적으로 공격자가 원하는 증폭을 실제로 제공하지 않도록 응답의 크기를 제한하려고 합니다(이미 수행하고 있는 것처럼 들립니다).
- 귀하의 예와 같이 영역과 일치하지 않는 쿼리는 빈
REFUSED응답을 받아야 합니다(예전에는 루트에 대한 전체 추천 응답을 보내는 것이 일반적이었습니다). TC속도 제한을 구현하면 응답하지 않는 대신 빈 잘린(설정) 응답을 보내고 싶을 것입니다 . 실제 합법적인 확인자 서버가 속도 제한으로 끝나는 경우 응답을 받고 잘린 것으로 플래그가 지정되면 다시 보내도록 트리거됩니다. 대신 TCP를 통해 쿼리- 쿼리
ANY유형은 처음에는 실제 유용성이 제한되어 있으며 때로는 큰 응답을 생성하는 방법을 피하기 위해 추가로 제한됩니다. (좋다minimal-anyBIND에서) - (물론 인터넷 전반에 대한 재귀는 절대 허용하지 않습니다)
BIND로 응답하지 않는 경우, 응답하지 않는 것을 허용하는 기능은 RRL(응답 속도 제한)입니다. 여기에는 slip누군가가 속도 제한에 도달했을 때 잘림과 삭제의 비율을 제어하는 구성 매개변수가 있습니다. 그러나 삭제는 권한 있는 서버보다는 대부분 확인자 서버와 관련이 있다는 점에 유의하세요(이전 설명 참조). 이는 다음에도 언급되어 있습니다.BIND 매뉴얼의 RRL 섹션:
(참고: 권한 있는 서버에서 삭제된 응답은 제3자가 재귀 확인자에 대한 응답을 성공적으로 위조하는 어려움을 줄일 수 있습니다. 위조된 응답에 대한 최선의 보안은 권한 있는 운영자가 DNSSEC를 사용하여 해당 영역에 서명하고 확인자 운영자가 응답을 검증하는 것입니다. 이것이 옵션이 아닌 경우 홍수 완화보다 응답 무결성에 더 관심이 있는 운영자는 슬립을 1로 설정하여 모든 속도 제한 응답이 삭제되는 대신 잘리도록 하는 것을 고려할 수 있습니다. 공격합니다.)
slip다른 절충안이 실제로 의미가 있는 심각한 상황에 처한 경우, 위에서 언급한 손잡이나 다른 속도 제한 손잡이 세트가 있는 도구를 고려할 수 있습니다.dnsdist.
그러나 이것이 배경 소음의 일반적인 수준에 불과하다면 이를 해결하려고 노력해도 별 이득이 없는 새로운 문제가 발생할 가능성이 높습니다.