Dekuji panu Caletkovi za clanek. Je to presne tak, jak pise. Pridam zkusenost od ISP. Ukoky tohoto typu zacaly nekdy v unoru 2014. Navic, cilove domeny, ktere jsou pro tento typ utoku pouzite, jsou IMHO zamerne registrovane pro tento ucel a jejich NS zamerne neodpovidaji, tj. cilem utoku jsou spise primo rekurzory. PowerDNS, ktery jsem mel tehdy nasazeny se stal v tehdejsi verzi nepouzitelny. Nejdriv dosly filedescriptory a pak i zdrojove porty pro dotazy. 20 tisic dotazu/s tohoto charakteru polozilo farmu se ctyrmi resolvery jako nic. A kdyz nemely problemy vlastni rekurzory, tak sitove prvky (fw) kolem, protoze musely drzet stavove informace k probihajicim dotazum a dochazela jim pamet. S Unboundem se tahle situace da pomerne dobre zvladnout popisovanym zavadenim prazdnych lokalnich zon, kde se posilame ne NX DOMAIN, ale REFUSED. Snaze se pak identifikuje, napr. v packet capture, kdo skodi. PowerDNS rekurzor prosel za posledni rok upravami za ucelem zvyseni odolnosti proti utokum, ale jeste jsem ho nezkousel, protoze zatim nema podporu DNSSEC.
Chtel bych se zeptat, pokud dobre rozumim, tak jste meli rekurzory pdns na portu 53, z kterych jste to pripadne smerovali na autoritativni servery? Jak jste pak resili forward tech zon na autoritativni - nepredpokladam, ze jste rucne upravovali kazdy rekurzor v pripade, ze byla pridana/odebrana zona na autoritativnim serveru. Mam momentalne autoritativni servery nad databazi pred rekurzory prave kvuli te automaticke funkcnosti zon, ale pokud by existovala cesta, jak tu samou funkcnost zprovoznit i v rekurzorovym forwardu, tak me to dost zajima.
Diky
