Início / server / Perguntas / 817524
Accepted
SoabTI
Asked: 2016-11-29 08:53:12 +0800 CST

Como bloquear o ip de destino de várias respostas recusadas de dns com iptables

  • 772

Como posso bloquear sequências de pacotes recusados ​​enviadas do bind para o mesmo endereço IP pelo iptables?

Pensei em usar a extensão de string procurando por "Recusado". Isso protegeria o dns contra ataques DoS?

minha tentativa:

iptables -A INPUT -p udp -m udp --sport 53 -m string --string "Refused" --algo bm -m recent --set --name block-dns --rsource
iptables -A INPUT -p udp -m udp --sport 53 -m string --string "Refused" --algo bm -m recent --rcheck --seconds 10 --hitcount 1 --name block-dns --rsource -j DROP
domain-name-system iptables

3 respostas

  1. Não consigo entender o que você está tentando alcançar, mas o motivo da falha é simplesmente porque uma resposta DNS não contém realmente uma string REFUSED.

    O RFC 1035 define um cabeçalho de resposta em que, nesse cabeçalho, um campo de 4 bits é definido como RCODE; o código de resposta, onde o valor de 5significa "Refused" :

    4.1.1. Header section format

The header contains the following fields:

                                1  1  1  1  1  1
  0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                      ID                       |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|QR|   Opcode  |AA|TC|RD|RA|   Z    |   RCODE   |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    QDCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    ANCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    NSCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    ARCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

    RCODE 5- O servidor de nomes se recusa a executar a operação especificada por motivos de política. Por exemplo, um servidor de nomes pode não desejar fornecer as informações para o solicitante específico, ou um servidor de nomes pode não desejar realizar uma operação específica (por exemplo, transferência de zona) para dados específicos.

    • 6
  2. Best Answer

    Não faça isso.

    1. Você está criando um vetor de negação de serviço . Como as consultas DNS são facilmente falsificadas, essa estratégia abre as portas para os invasores treinarem seu servidor DNS para ignorar o tráfego de endereços IP específicos. Tudo o que eles precisam fazer é falsificar as consultas que gerariam uma resposta de REFUSED, e esse firewall "inteligente" começaria a ignorar o tráfego de suas vítimas.

    2. REFUSEDas respostas não são úteis para os invasores, para começar. Os invasores que procuram aproveitar o DNS para fazer seu trabalho sujo geralmente procuram alguma forma de efeito de amplificação, que essas consultas não geram. A maioria dos profissionais de DNS consideraria isso um excesso de engenharia desnecessário.

    As estratégias de estilo log2ban funcionam apenas se você estiver lidando com tráfego que tenha um IP de origem confirmado. O TCP tem essa proteção incorporada com um handshake de 3 vias, mas o UDP não.

    • 3

  3. Capitalizando a partir da resposta de HBruijn, aqui estaria, no servidor DNS, como descartar qualquer resposta UDP DNS com REFUSED RCODE usando uma correspondência u32

    iptables -I OUTPUT -p udp --sport 53 -m u32 --u32  '0>>22&0x3C@8 & 0x800F=0x8005' -j DROP

    Ele pula o cabeçalho IP, pula mais 8 bytes para o cabeçalho UDP e verifica o conteúdo dos primeiros dados u32 no início da carga útil: o 1º bit é 1 (resposta) e o valor dos últimos 4 bits = 5 (recusado).

    Como fui lembrado, seria uma má ideia banir um IP de origem fazendo uma consulta UDP, porque com um IP falsificado, isso é um DoS. Não receber uma resposta Recusada não parece ser um problema real. Acabei de remover as regras "recentes" desta resposta.

    • 2

relate perguntas