System-Linux

Aller au contenu | Aller au menu | Aller à la recherche

Faille DOS DNS ISPRIME serveur bind recursif

Explication par ici...

L'attaque NS . dite aussi attaque ISPrime du nom de la première victime fait fureur en ce moment.

Les précautions à prendre sont les suivantes :

Pour voir si vous êtes vulnérable :

Regarder vos logs bind9:

si vous avez ceci c'est que votre serveur est faillible.

22-Jan-2009 12:19:40.584 queries: client 66.230.160.1#4254: query: . IN NS +
22-Jan-2009 12:19:40.800 queries: client 66.230.128.15#26333: query: . IN NS +
22-Jan-2009 12:19:42.812 queries: client 66.230.128.15#4678: query: . IN NS +
22-Jan-2009 12:19:43.709 queries: client 66.230.160.1#692: query: . IN NS +
22-Jan-2009 12:19:44.432 queries: client 66.230.160.1#7330: query: . IN NS +

Il ne faut pas bannir cette adresse, la source est falsifiée.

Explication :

Votre serveur répond a une requête en envoyant toute la liste des serveur DNS Root a une victime qui à force tombera (attaque Dos)

regardez :

dig @ip-de-votre serveur dns. NS . 

Vous ne devez pas avoir de réponse ou bien une réponse courte comme REFUSED ou SERVFAIL.

mais surtout pas ceci :

;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET.	225020	IN	A	198.41.0.4
A.ROOT-SERVERS.NET.	381089	IN	AAAA	2001:503:ba3e::2:30
B.ROOT-SERVERS.NET.	225020	IN	A	192.228.79.201
C.ROOT-SERVERS.NET.	225021	IN	A	192.33.4.12
D.ROOT-SERVERS.NET.	225021	IN	A	128.8.10.90
E.ROOT-SERVERS.NET.	225021	IN	A	192.203.230.10
F.ROOT-SERVERS.NET.	225021	IN	A	192.5.5.241
F.ROOT-SERVERS.NET.	381089	IN	AAAA	2001:500:2f::f
G.ROOT-SERVERS.NET.	225021	IN	A	192.112.36.4
H.ROOT-SERVERS.NET.	225021	IN	A	128.63.2.53
H.ROOT-SERVERS.NET.	381089	IN	AAAA	2001:500:1::803f:235
J.ROOT-SERVERS.NET.	321067	IN	A	192.58.128.30
J.ROOT-SERVERS.NET.	321067	IN	AAAA	2001:503:c27::2:30
K.ROOT-SERVERS.NET.	225020	IN	A	193.0.14.129

Pour éviter l'attaque mettre ceci dans les options de votre bind9 :

additional-from-cache no;
recursion no; 

Ces deux directives visent à faire que vous ne participiez pas à l'attaque DoS, que vous ne répondiez pas avec la longue liste des serveurs de la racine. Mais elles n'empêchent pas l'attaque. Vous ne pouvez pas empêcher les paquets de l'attaque de partir et de circuler...

Vous pouvez aussi tester votre dns bind ici :

http://isc1.sans.org/dnstest.html

Pour plus d'explication suivre ce lien :

http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html

Par GanGan | le dimanche, janvier 25 2009 19:30

Commentaires

1. Bosco

mercredi, mars 4 2009 | 19:09

"que vous ne répondiez pas avec la longue liste des serveurs de la racine. "
La liste des serveurs root a toujours été publique...

2. GanGan

mercredi, mars 4 2009 | 19:20

qqu explique au msieu ?

c'est une attaque dos , le Vilain attaquant A attaque B ; A se fait passer pour B ; C D E F et tout les autres jusqu'a Z redondent à B la liste des serveurs roots meme si c'est A qui pose la question ; B fait une overdose

3. Dju

mercredi, mars 10 2010 | 00:25

tiens, c'est marrant ça... ou pas !
sur mon serveur cela fonctionne alors que j'avais pourtant bien désactivé la récursion depuis l'extérieur.
J'ai donc ajouté additional-from-cache no et c'est bon.
thanks :)