Своевременная проверка DNS-серверов – профилактика защиты от DDoS-атак

В Службу KZ-CERT периодически поступают обращения о зарегистрированных DDoS-атаках типа "усиление" (amplification) с использованием сервиса DNS с IP-адресов, скомпрометированных злоумышленниками. Причиной тому является отсутствие элементарного мониторинга DNS-серверов и сетевой инфраструктуры на актуальность программного обеспечения, настроек сети, а также отсутствие средств защиты от внешних атак.

Проще говоря, злоумышленники используют ваши IP-адреса как "передатчик" для осуществления DDoS-атак типа DNS-amplification. И все потому, что настройки DNS-серверов не поддерживаются в актуальном состоянии.

Уменьшить количество DDoS-атак типа DNS-amplification и минимизировать участие своего инфраструктурного сегмента можно с помощью следующих действий, не требующих дополнительных материальных затрат:

1. Проводить периодически аудит DNS;
2. Поддерживать актуальную версию программного обеспечения DNS-серверов;
3. Скрыть версию DNS-сервера для того, чтобы злоумышленник не смог легко получить информацию о версии вашего сервера;
4. Применять в сети оборудование с функциями IPS, IDS, AntiDDoS, что также усилит защиту от атак;
5. Отключить неиспользуемые сервисы на всех серверах;
6. Ограничить рекурсивную обработку запросов только для клиентов предоставляемого сервиса;
7. Перейти на TCP в соответствии с рекомендациями RFC5966.

И если так поступит каждый администратор серверов, доступных из сети интернет, цифровой мир приблизится еще на один шаг к совершенству.

Ну и рекомендации о том, что делать, если ваш DNS-сервер все же скомпрометирован?

1. Обновить программное обеспечение DNS-серверов;
2. Включить фильтрацию на сетевом оборудовании;
3. Произвести перенастройку DNS-серверов для исключения дальнейшей их компрометации в DDoS-атаках.