حمله DNS Amplification چیست؟
DNS Amplification یک نوع حمله DDoS است که از سرور DNS شما به عنوان ابزار تقویت حمله سوءاستفاده میکند. مهاجم درخواستهای DNS جعلی با IP مبدأ جعلی (IP قربانی) به سرور DNS شما ارسال میکند و سرور شما پاسخهای بزرگتر را به قربانی میفرستد.
علائم
ترافیک خروجی DNS غیرعادی (پورت ۵۳)، بار CPU بالا روی سرویس Named/BIND، و شکایت دیتاسنتر از ترافیک خروجی بالا.
بررسی
# ترافیک پورت ۵۳
tcpdump -n port 53 | head -50
# تعداد کوئریهای DNS
rndc stats
cat /var/named/data/named_stats.txtروشهای مقابله
روش ۱: غیرفعال کردن Recursion
اگر سرور DNS شما فقط برای دامنههای خودتان است (authoritative):
nano /etc/named.confoptions {
recursion no;
allow-query { any; };
allow-recursion { none; };
};systemctl restart namedروش ۲: محدود کردن Recursion به IPهای مجاز
اگر Recursion لازم است:
options {
recursion yes;
allow-recursion { 127.0.0.1; YOUR_SERVER_IPS; };
};روش ۳: Rate Limiting در BIND
options {
rate-limit {
responses-per-second 10;
window 5;
};
};روش ۴: فایروال CSF
# محدود کردن ترافیک DNS خروجی
# در /etc/csf/csf.conf
UDPFLOOD = "1"
UDPFLOOD_LIMIT = "100/s"روش ۵: استفاده از Response Rate Limiting (RRL)
BIND 9.9+ از RRL پشتیبانی میکند:
rate-limit {
responses-per-second 5;
slip 2;
};پیشگیری
DNS سرور را همیشه آپدیت نگه دارید. Recursion را فقط برای IPهای مجاز فعال کنید. مانیتورینگ ترافیک DNS. فایروال CSF/iptables تنظیم کنید.
اگر سرور شما تحت حمله DNS است، کانفیگ سرور شامل hardening DNS و CSF. سرور مجازی با فایروال پیشرفته.