https://www.opennet.ru/openforum/vsluhforumID3/91027.html Организация ISC выпустила (https://lists.isc.org/pipermail/bind-announce/2013-July/000859.html) экстренные обновления DNS-сервера BIND с устранением уязвимости (CVE-2013-4854), позволяющей инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитативные серверы. Ограничение доступа через ACL не позволяет защититься от проблемы, помочь может только ограничение доступа к сетевому порту на уровне пакетного фильтра. Проблема усугубляется тем, что информация о методе эксплуатации появилась в Сети до выхода исправления и несколько компаний зафиксировали применения уязвимости для атаки на DNS-серверы. <br><br><br><br>В настоящий момент уязвимость уже исправлена в выпусках BIND 9.9.3-P2 и 9.8.5-P2, все остальные версии BIND 9, новее ветки 9.6, подвержены атаке. Для BIND 9.7 официальное исправление не выпущено, так как время поддержки данной ветки прекращено, тем не менее уже доступно (http://seclists.org/fulldisclosure/2013/J https://www.opennet.ru/openforum/vsluhforumID3/91027.html#46 Sat, 03 Aug 2013 08:34:43 GMT Просто если ломанут виндовый DNS, то может возникнуть много проблем. Особенно если он AD держит.<br>А линуховые? Ну ломанули, ну снесли этот линух и откатили из бэкапа. Ломать бессмысленно, ничего важного нет.<br> https://www.opennet.ru/openforum/vsluhforumID3/91027.html#45 Mon, 29 Jul 2013 20:19:30 GMT &gt; 500 мегабит и зоны там большые, если просчитаться с лимитом запроса<br><br>Для моего личненького DNS RRL работающее решение.<br>Как проблему решают корневые организации &#8212; не знаю, это их зона ответственности.<br> https://www.opennet.ru/openforum/vsluhforumID3/91027.html#44 Mon, 29 Jul 2013 15:16:00 GMT &gt; А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.<br><br>Да для некоторых днс серверов ето вариант, но например сервер который обслужывает домен первого уровня спокойно может отдавать 500 мегабит и зоны там большые, если просчитаться с лимитом запроса<br>то атакующий просто может подставлять ip днсов крупного провайдера которого просто забанят.<br>Да и для атаки ето не помеха, просто нужно больше днс серверов подходящих найти.<br>В итоге с одной стороны как RRL создайот трудности для атаки но по сути они не критичны.<br> https://www.opennet.ru/openforum/vsluhforumID3/91027.html#43 Mon, 29 Jul 2013 14:54:39 GMT &gt;&gt; Я просто не понимаю по каким критериям вы хотите отлавливать <br>&gt;&gt; ip для PF и как RRL поможет спровлятся с подобными атаками.<br><br>Парсим логи БИНДа, находим таймаутные отлупы БИНДа назойливым постоянным клиентам.<br>Это в 100% &#8212; амплификаторы и в 99% &#8212; из Китая.<br>Суём IP, с которых идет амплификация, в PF.<br><br>А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.<br> https://www.opennet.ru/openforum/vsluhforumID3/91027.html#42 Mon, 29 Jul 2013 13:48:02 GMT &gt; Это юникс детка - в винде дыры закрыли за прошедшие 15 лет <br>&gt; - а тут только начали натыкаться.<br><br>То то я посмотрю весь мир на видновых днс-ах живёт :))))<br>Это новно из локалки не выпускают даже злобные буратины, а те кому море по колено ужо давно огреьли вою премию Дарвина :)<br> https://www.opennet.ru/openforum/vsluhforumID3/91027.html#41 Mon, 29 Jul 2013 13:45:11 GMT Это в 1993 был бы хороишй совет. в 2013 - лишь показывает что ты кретин.<br> https://www.opennet.ru/openforum/vsluhforumID3/91027.html#40 Mon, 29 Jul 2013 13:34:01 GMT &gt; Об отаках, с которыми спровляется RRL. <br><br>Я просто не понимаю по каким критериям вы хотите отлавливать ip для PF и как RRL поможет <br>спровлятся с подобными атаками.<br> https://www.opennet.ru/openforum/vsluhforumID3/91027.html#39 Mon, 29 Jul 2013 13:28:21 GMT Атаке подвержен, вообще-то, любой DNS.<br>Это проблема индустрии, такая же, как голый SMTP.<br><br>DNSSEC надо, однако. <br>А его, однако, 0,000000000000000000000000000000.00% клиентов может использовать.<br>Нужна неотключаемая поддержка DNSSEC искаропки на каждом дескпоце.<br>А ее нет, млеа.<br> https://www.opennet.ru/openforum/vsluhforumID3/91027.html#38 Mon, 29 Jul 2013 12:06:40 GMT http://habrahabr.ru/company/ukrnames/blog/129711/<br>