Desde inicios de este año 2013, se ha estado aprovechando los servidores de DNS que no limitan las redes que les pueden hacer queries para realizar ataques de amplificación de DNS.
Estos ataques ocurren cuando se le envía continuamente a nuestro servidor de DNS pequeñas preguntas que le obligan a realizar a su vez varias preguntas a los servidores de destino, inundándoles a estos de peticiones que le obligan a dar respuestas extensas. Estos servidores de destino se ven sometidos a mucho estrés pudiendo dejar de responder a ratos.
Existen varias formas de eliminar este problema de nuestras redes, y la principal es limitar la cantidad de redes que pueden realizar preguntas recursivas a nuestros servidores de DNS. Podemos ver una breve explicación en este enlace https://www.us-cert.gov/ncas/alerts/TA13-088A
Solución:
Si no se necesita el servicio de DNS instalado en este equipo pueden realizarse una de las siguientes acciones:
- Apagar el servicio de DNS
- Desinstalar el servicio de DNS
- Bloquear las conexiones entrantes hacia el puerto 53/UDP en el equipo:
- iptables -I INPUT -p udp –dport 53 -j DROP
Sugerimos las opciones 1 y 3 pues ambas son reversibles.
Si se necesita el servicio de DNS instalado en este equipo pueden realizarse una de las siguientes acciones:
- Bloquear las conexiones entrantes hacia el puerto 53/UDP en el equipo (ver punto 3 anterior)
- Implementar ACL en el servidor de DNS, de forma tal que se permitan queries solamente desde las redes de su institución.
