DNS Standard query ANY

Beberapa hari lepas ketika membuat pemantauan Internet, terkesan satu aliran trafik yang lain dari biasa. Kelihatan begitu banyak segala DNS query yang dibuat kepada ". / root" dalam tempoh yang singkat. Tekaan kasar berat mengatakan ianya dari jenis serangan DDoS. Setelah diperhatikan dan dibuat sedikit analisa, memang benar ianya berbentuk DDoS. Cuma sasarannya bukanlah kepada hos yang menerima query/pertanyaan DNS. Hos yang menerima tidak lain hanyalah sebagai amplifier.

Sasaran sebenar adalah hos yang membuat query/pertanyaan yang telah dijadikan sebagai mangsa oleh penyerang.

Bentuk pertanyaan akan dapat dilihat seperti di bawah (TSHARK)


 11.231379 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231398 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231406 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231412 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231417 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231423 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231429 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231435 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231440 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231449 y.y.y.y -> x.x.x.x DNS Standard query ANY
 11.231455 y.y.y.y -> x.x.x.x DNS Standard query ANY

Jawapan pula seperti di bawah:

DNS Standard query response NS i.root-servers.net NS j.root-servers.net NS k.root-servers.net NS l.root-servers.net NS m.root-servers.net NS a.root-servers.net NS b.root-servers.net NS c.root-servers.net NS d.root-servers.net NS e.root-servers.net NS f.root-servers.net NS g.root-servers.net NS h.root-servers.net 

Serangan seperti ini lebih menjurus ke arah DDoS dan impak bentuk serangan ini sebenarnya adalah kepada mangsa dan biasanya jarang memberi kesan kepada hos yang ditanya.


Ianya terjadi kerana IP ini menyediakan perkhidmatan DNS dan tidak diselenggarakan dengan baik dan membenarkan recursive queries dari luar atau digelar OPEN DNS RESOLVER.

Untuk mengetahui sama ada sesuatu DNS itu secara tidak sengaja/sengaja bertindak sebagai OPEN DNS RESOLVER, pemeriksaan boleh dibuat melalui laman web seperti:

http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl

Atau secara arahan CLI di dalam Linux/Unix

Contoh:

dig google.com @x.x.x.x
host google.com @x.x.x.x
(gantikan x.x.x.x dengan IP DNS)

Tindakan seterusnya adalah menghentikan kebenaran atau menghadkan kebenaran recursive query berdasarkan keperluan dan fungsi DNS yang diselenggarakan.

Sebagai panduan boleh dirujuk ke sini:
http://www.team-cymru.org/Services/Resolvers/instructions.html

Comments

Popular Posts

Scanned

Website Security Test