Am 15. Februar fand, wie heise.online berichtet, eine DoS-Attacke auf DNS-Root-Nameserver statt. Dadurch werden zwei Probleme klar:
- Provider sollten dafür sorgen, das keine Pakete mit gefälschten Absenderadressen in ihre Netze gelangen. Das heißt: direkt den vom Endkunden eintreffenden Traffic durch eine Firewall schicken und alle Pakete mit Absender-Adressen, die nicht sein dürfen droppen.
- DNS-Server sollten rekursive Abfragen (also das Auflösen von DNS-Namen, für die die Server nicht lokal zuständig sind) nur für den IP-Adressbereich zulassen, für den sie als Resolver zuständig sind.
Ich habe selbst schon mitbekommen das von mir oder von Bekannten betriebene DNS-Server als Resolver misbraucht wurden, was den Traffic und die Last massiv in die Höhe trieb. Aus diesem Grund habe ich auch vor einiger Zeit angefangen meine DNS-Server dahingehend abzusichern. Der Test von www.DNSreport.com umfasst seit neuestem den Test, ob die DNS-Server für alle Clients rekursive Abfragen erlauben. Damit kann man seinen eigenen Server sehr leicht auf diese Schwachstelle testen. Um sie abzuschalten, geht man in Bind 9 (auf Debian GNU/Linux, andersfalls kann es sein das eine andere Konfigurationsdatei benutzt werden muß) wie folgt vor:
/etc/bind/named.conf.options
// In dieser ACL kann man durch Semikolon getrennt
// alle Netze eintragen, die diesen DNS-Server als
// Resolver benutzen dürfen
acl meinerechner { 192.168.1.1/24; };
options {
[...]
allow-recursion { meinerechner; };
[...]
}
