Организация ISC выпустила (https://lists.isc.org/pipermail/bind-announce/2013-July/0008...) экстренные обновления DNS-сервера BIND с устранением уязвимости (CVE-2013-4854), позволяющей инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитативные серверы. Ограничение доступа через ACL не позволяет защититься от проблемы, помочь может только ограничение доступа к сетевому порту на уровне пакетного фильтра. Проблема усугубляется тем, что информация о методе эксплуатации появилась в Сети до выхода исправления и несколько компаний зафиксировали применения уязвимости для атаки на DNS-серверы.В настоящий момент уязвимость уже исправлена в выпусках BIND 9.9.3-P2 и 9.8.5-P2, все остальные версии BIND 9, новее ветки 9.6, подвержены атаке. Для BIND 9.7 официальное исправление не выпущено, так как время поддержки данной ветки прекращено, тем не менее уже доступно (http://seclists.org/fulldisclosure/2013/Jul/256) обновление пакетов с BIND 9.7 для Debian. Аналогичное обновление также выпустил (http://www.freebsd.org/security/advisories/FreeBSD-SA-13:07....) проект FreeBSD. RHEL/CentOS, Fedora, SUSE, openSUSE, Ubuntu и другие дистрибутивы Linux обновления на момент написания новости ещё не выпустили (http://wiki.opennet.ru/SecurityAnnounces).
Отдельно можно отметить объявление (https://www.isc.org/blogs/isc-adds-ddos-defense-module-to-bi.../) о добавлении в состав будущих выпусков BIND модуля RRL (https://kb.isc.org/article/AA-01000), предоставляющий эффективный механизм для защиты от проведения DDoS-атак с использованием DNS. Речь ведётся не об атаках, направленных на выведение из строя DNS-сервера, а об использовании DNS-серверов для атак на другие системы. Пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с указанием фиктивного обратного адреса, в качестве которого указан IP жертвы, создаётся волна трафика из обратных ответов (исходный трафик приумножается примерно в 100 раз).
Во втором квартале 2013 года частота проведения подобных атак возросла на 20%. При этом в среднем при каждой такой DDoS атаке генерируется трафик порядка 50 млн пакетов в секунду. RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя (заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие). Модуль RRL добавляет поддержку директивы responses-per-second в блок rate-limit, позволяющей задать допустимое число ответов в секунду.
URL: https://lists.isc.org/pipermail/bind-announce/2013-July/0008...
Новость: http://www.opennet.me/opennews/art.shtml?num=37528
самая большая дыра - наличие интернета как такового
Ты прям как сталин: "нет того - нет сего"Тогда вот так "Думайте сами, решайте сами - иметь или не иметь."
Самая большая дыра - это наличие у вас компьютера.
самая большая дыра - это наличие за ним пользователя.
«шо, опять?!»
Хорошо еще, что не remote code execution, как в старые добрые времена.
Обновился :-p
>Обновился :-powerdnsИсправил, не благодари
>>Обновился :-powerdns
> Исправил, не благодариОбновись до powerdns и получи пачку глюков в самых неожиданных местах. Зато зоны в РСУБД, че.
Не, у меня и powerdns тоже есть. И зоны в файлах как у BIND, powerdns такое умеет, ага.
Для авторитатива лучше nsd. Никаких рюшек (типа geoip), зато хрен прошибёшь. Единственный косяк - твёрдое следование rfc в 3.х, что в части CNAME откровенно мешает. Подписанные зоны встречаются пока куда реже, чем надобность форварднуть домен "не глядя".
Где без рюшек никак - берём bind|pdns по вкусу и делегируем им нужный кусок. С pdns возни на старте больше, зато на выходе - вполне шустрый DNS с клиентской мордой.
тогда уж djbdns сразу
Это в 1993 был бы хороишй совет. в 2013 - лишь показывает что ты кретин.
Прекрасно.
А то ЗАДРАЛИ китайцы за последнюю неделю...Только RRL патч нужно указать при сборке.
По умолчанию отключен.
в nsd все это давно реализовано--enable-ratelimit Enable rate limiting
--enable-draft-rrtypes Enable draft RRtypes.--with-max-ips=number Limit on the number of ip-addresses that may be specified
>> в nsd все это давно реализованоСтрашновато, блеин, переходить с БИНДа...
Особенно в преддверии подъёма IDN почты...
>>> в nsd все это давно реализовано
> Страшновато, блеин, переходить с БИНДа...
> Особенно в преддверии подъёма IDN почты...nginx + nsd = что может быть проще?
>>>> в nsd все это давно реализовано
>> Страшновато, блеин, переходить с БИНДа...
>> Особенно в преддверии подъёма IDN почты...
> nginx + nsd = что может быть проще?Да уже почитал про nsd...
Нужно будет перейти на nsd, конечно.
Впечатляющая производительность и нетребовательность к ресурсам.
> Впечатляющая производительность и нетребовательность к ресурсам.jadifa?
www.nlnetlabs.nl/blog/2013/07/08/nsd4-tcp-performance/
www.nlnetlabs.nl/blog/2013/07/05/nsd4-performance-measurements/
http://habrahabr.ru/company/ukrnames/blog/129711/
смотря на что.
если на unbound или djbdns - даже проще. и с ходе миграции и тем более поотом.
если на powerdns или более монструозное - то всякое возможно :(
Ты про это http://habrahabr.ru/post/178727/
?
да упаси бог !!
в самых страшных кошмарах не приснится такой монстр !
лучше уж страдать в "кирпичном" BIND(хотя десятка это немного перебор).
>RRL является способом справиться с проблемой на стороне DNS-серверовмечтать не вредно
+1
>>RRL является способом справиться с проблемой на стороне DNS-серверов
>мечтать не вредноЭто лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.О чом вы?
>> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
> О чом вы?Об отаках, с которыми спровляется RRL.
> Об отаках, с которыми спровляется RRL.Я просто не понимаю по каким критериям вы хотите отлавливать ip для PF и как RRL поможет
спровлятся с подобными атаками.
>> Я просто не понимаю по каким критериям вы хотите отлавливать
>> ip для PF и как RRL поможет спровлятся с подобными атаками.Парсим логи БИНДа, находим таймаутные отлупы БИНДа назойливым постоянным клиентам.
Это в 100% — амплификаторы и в 99% — из Китая.
Суём IP, с которых идет амплификация, в PF.А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.
> А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.Да для некоторых днс серверов ето вариант, но например сервер который обслужывает домен первого уровня спокойно может отдавать 500 мегабит и зоны там большые, если просчитаться с лимитом запроса
то атакующий просто может подставлять ip днсов крупного провайдера которого просто забанят.
Да и для атаки ето не помеха, просто нужно больше днс серверов подходящих найти.
В итоге с одной стороны как RRL создайот трудности для атаки но по сути они не критичны.
> 500 мегабит и зоны там большые, если просчитаться с лимитом запросаДля моего личненького DNS RRL работающее решение.
Как проблему решают корневые организации — не знаю, это их зона ответственности.
какая то детская болезнь .. ИМХО .. чо раньше то, головы где были ?
Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.
> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.
> Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.Странно, что не ляпнул: "Это сурковская пропаганда"
в венде? дооооо.... они bsd-шный стек, уже готовый, пришпандорить к своей поделке не могли без дырок. фрагментацию пакетов не осилили, позорники. уровень ниже горбатых поделок новичков-программистов.
Слюни подотри.
> Слюни подотри.Воробьишко злился-злился, SubGun достал и застрелился :)
> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет
> - а тут только начали натыкаться.Не совсем так. Просто виндовые dns почти нигде, кроме внутренней сети, не применяются.
Атаке подвержен, вообще-то, любой DNS.
Это проблема индустрии, такая же, как голый SMTP.DNSSEC надо, однако.
А его, однако, 0,000000000000000000000000000000.00% клиентов может использовать.
Нужна неотключаемая поддержка DNSSEC искаропки на каждом дескпоце.
А ее нет, млеа.
> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет
> - а тут только начали натыкаться.То то я посмотрю весь мир на видновых днс-ах живёт :))))
Это новно из локалки не выпускают даже злобные буратины, а те кому море по колено ужо давно огреьли вою премию Дарвина :)
Просто если ломанут виндовый DNS, то может возникнуть много проблем. Особенно если он AD держит.
А линуховые? Ну ломанули, ну снесли этот линух и откатили из бэкапа. Ломать бессмысленно, ничего важного нет.