DNS-серверлерді уақытында тексеру - DDoS-шабуылдардан алдын ала қорғау

«KZ-CERT» қызметіне DNS сервисін пайдалана отырып, зиянкестер жария еткен IP-мекенжайларынан жасалған «күшейту» (amplification) түріндегі тіркелген DDoS-шабуылдары туралы өтініштер мерзімді келіп түседі. Мұның себебі DNS-серверлер мен желілік инфрақұрылымға бағдарламалық қамтылымның, желі баптауларының өзектілігі тұрғысынан қарапайым мониторингтің жүргізілмеуі, сондай-ақ сыртқы шабуылдардан қорғау құралдарының жоқтығы.

Былай айтқанда, зиянкестер сіздердің IP-мекенжайларыңызды DNS-amplification түріндегі DDoS-шабуылдарды жүзеге асыру үшін «таратқыш» ретінде пайдаланады. Өйткені, DNS-серверлердің баптауларын өзекті жай-күйінде қолдап отыру орындалмайды.

DNS-amplification түріндегі DDoS-шабуылдардың санын азайту және өздеріңіздің инфрақұрылымдық сегментіңіздің қатысын барынша азайту қосымша материалдық шығыстарды талап етпейтін келесі іс-қимылдардың көмегімен мүмкін болады:

1. DNS аудитін мерзімді түрде жүргізу;
2. DNS-серверлердің бағдарламалық қамтылымының өзекті нұсқасын қолдап отыру;
3. Зиянкестің сіздің серверіңіздің нұсқасы туралы ақпаратты оңай иеленбеуі үшін
DNS-сервердің нұсқасын жасыру;
4. Желіде IPS, IDS, AntiDDoS функциялары бар жабдықтарды пайдалану, бұл да шабуылдардан қорғануды қүшейтеді;
5. Барлық серверлерде пайдаланылмайтын сервистерді ажырату;
6. Ұсынылатын сервистің клиенттеріне ғана сұрау салулардың рекурсивті өңделуін шектеу;

7. RFC5966 ұсыныстарына сәйкес TCP-ге көшу.

Егер Интернет желісінен қолжетімді серверлердің әрбір әкімшісі осылай жасаса, цифрлық әлем жетілуге тағы бір қадам жақындай түседі.

Және егер сіздің DNS-серверіңіз әйтсе де жария етілсе, не істеу керек екені жөнінде ұсынымдар:

1. DNS-серверлердің бағдарламалық қамтылымын жаңарту;
2. Желілік жабдықта фильтрлеуді іске қосу;
3. Олардың DDoS-шабуылдарда одан әрі жария етілуіне жол бермеу үшін DNS-серверлерді қайта баптауды жүргізу.