Консорциум ISC представил (https://lists.isc.org/pipermail/bind-announce/2013-September...) новый значительный выпуск DNS-сервера BIND 9.9.4, примечательный интеграцией поддержки технологии RRL (https://kb.isc.org/article/AA-01000) (Response Rate Limiting), позволяющей ограничить интенсивность отправки ответов DNS-сервером, что даёт администраторам средства для эффективной защиты от вовлечения их сервера в проведение DDoS-атак.

В последнее время участились случаи (https://www.opennet.ru/opennews/art.shtml?num=36525) использования отвечающих на сторонние запросы открытых DNS-серверов для усиления трафика при DDoS-атаке на другие системы. Суть атаки состоит в том, что атакующий пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы, создаёт волну трафика из обратных ответов, примерно в 100 раз превосходящая исходных трафик. Используя ботнет для генерации первичных запросов, атакующий направляет трафик не на прямую, а через "линзу" из миллионов открытых резолверов (http://openresolverproject.org/), что позволяет добиться волны порядка 50 млн пакетов в секунду.

RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и  позволяющую задать допустимое число ответов в секунду.

Из других изменений можно отметить изменение значения по умолчанию длины очереди принимаемых TCP-соединений (tcp-listen-queue) с 3 до 10, что является более оптимальным значением для современных серверов. Добавлена поддержка  OpenSSL  0.9.8y, 1.0.0k и 1.0.1e с PKCS#11. Обеспечена возможность отображения в логах slave-сервера отправки  DDNS-обновлений к master-серверу. Устранены две  уязвимости (уязвимости уже давно исправлены в обновлениях 9.9.3-P2, 9.8.5-P2 и 9.6-ESV-R9-P2):

-  CVE-2013-4854 - позволяет инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитетные серверы.

-  CVE-2013-3919 - позволяет инициировать крах серверного процесса named при возврате внешним DNS-сервером записи из специально оформленной зоны в ответ на рекурсивный запрос резолвера.

Также можно отметить выход (https://lists.isc.org/pipermail/bind-announce/2013-September...) обновления прошлой, но ещё поддерживаемой ветки -  BIND 9.8.6, в которой не реализовано поддержки RRL, но добавлены другие отмеченные выше исправления и улучшения.

URL: https://lists.isc.org/pipermail/bind-announce/2013-September...
Новость: https://www.opennet.ru/opennews/art.shtml?num=37962