Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

¿Cómo evitar ataques DDoS en el DNS? ¡Atención administradores de DNS!

Quienes estén utilizando últimamente los servicios de DNS Report habrán notado que el diagnóstico regresa ahora un error que en resumen dice que el servidor puede ser susceptible de sufrir/participar en un ataque DDoS (Distributed Denail of Service o denegación de servicio distribuido).

Un DDoS (Distributed Denial of Service) es una ampliación del ataque DoS, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos del mundo. El atacante consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del saturación de información (flood), pudiendo darse casos de un ataque de cientos o millares de computadoras dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido haciendo más sofisticada hasta el punto de otorgar poder de causar daños serios a personas con escaso conocimiento técnico.

La falla reportada por DNS Report dice así:

«ERROR: One or more of your nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an excessive load on your DNS server. Alos, it is strongly discouraged to have a DNS server be both authoritative for your domain and be recursive (even if it is not open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Alos, the bad guys could use your DNS server as part of an attack, by forging their IP address»

Significa que el servidor DNS puede permitir a cualquiera realizar consultas recursivas. Si se trata de un DNS que se desea pueda ser consultado por cualquiera, como puede ser el caso del DNS de un ISP, esto es normal y esperado. Si se trata de un servidor que solo deben consultar los anfitriones de la red local o bien que se utiliza para propagar dominios hospedados localmente, es conveniente tomar medidas al respecto.

Solución al problema: en el archivo /etc/named.conf se añade en la sección de opciones (options) una línea que defina la red, las redes o bien los ACL que tendrán permitido realizar todo tipo de consultas.

options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        forwarders { 192.168.0.1; };
        forward first;
        allow-recursion { 127.0.0.1; 192.168.0.0/24; };
};

Lo anterior hace que solo 192.168.0.0/24 pueda realizar todo tipo de consultas en el DNS, ya sea para un nombre de dominio hospedado localmente y otros dominios resueltos en otros servidores (ejemplo: www.yahoo.com, www.google.com, www.alcancelibre.org, etc). El resto del mundo solo podrá realizar consultas sobre los dominios hospedados localmente y que estén configurado para permitirlo.

options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        forwarders { 192.168.0.1; };
        forward first;
        allow-recursion { 127.0.0.1; 192.168.0.0/24; };
};

zone "." IN {
        type hint;
        file "named.ca";
};

zone "miredlocal" {
        type master;
        file "miredlocal.zone";
        allow-update { none; };
        allow-query { 192.168.0.0/24; };
        allow-transfer { 192.168.0.2; };
};

zone "midominio.com" {
        type master;
        file "midominio.com.zone";
        allow-update { none; };
        allow-transfer { 200.76.185.252; 200.76.185.251; };
};

Una configuración como la anterior hace lo siguiente:

  • Red Local: cualquier tipo de consulta hacia dominios externos y locales (es decir, www.yahoo.com, www.google.com, www.alcancelibre.org, además de midominio.com).

  • Resto del mundo: solo puede hacer consultas para la zona de midominio.com

De este modo se impide que haya consultas recursivas y con esto impedir la posibilidad de sufrir/participar de un ataque DDoS.

Si en la configuración de named.conf está presente lo siguiente:

query-source   address * port 53;

Debe eliminarse para permitir utilizar números aleatorios para definir los puertos que se utilizarán para realizar las consultas.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/como-evitar-ddos-dns
  • ¿Cómo evitar ataques DDoS en el DNS? ¡Atención administradores de DNS!
  • 0comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.