Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак

Консорциум ISC представил новый значительный выпуск DNS-сервера BIND 9.9.4, примечательный интеграцией поддержки технологии RRL (Response Rate Limiting), позволяющей ограничить интенсивность отправки ответов DNS-сервером, что даёт администраторам средства для эффективной защиты от вовлечения их сервера в проведение DDoS-атак. В последнее время участились случаи использования отвечающих на сторонние запросы открытых DNS-серверов для усиления трафика при DDoS-атаке на другие системы. Суть атаки состоит в том, что атакующий пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы, создаётся волна трафика из обратных ответов, примерно в 100 раз превосходящая исходных трафик. Используя ботнет для генерации первичных запросов, атакующий направляет трафик не на прямую, а через «линзу» из миллионов открытых резолверов, что позволяет добиться волны порядка 50 млн пакетов в секунду.

RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.

Из других изменений можно отметить изменение значения по умолчанию длины очереди принимаемые TCP-соединений (tcp-listen-queue) с 3 до 10, что является более оптимальным значением для современных серверов. Добавлена поддержка OpenSSL 0.9.8y, 1.0.0k и 1.0.1e с PKCS#11. Обеспечена возможность отображения в логах slave-сервера отправки DDNS-обновлений к master-серверу. Устранены две уязвимости (уязвимости уже давно исправлены в обновлениях 9.9.3-P2, 9.8.5-P2 и 9.6-ESV-R9-P2):

CVE-2013–4854 — позволяет инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитетные серверы. CVE-2013–3919 — позволяет инициировать крах серверного процесса named при возврате внешним DNS-сервером записи из специально оформленной зоны в ответ на рекурсивный запрос резолвера. Также можно отметить выход обновления прошлой ветки — BIND 9.8.6, в которой не реализовано поддержки RRL, но добавлены другие отмеченные выше исправления и улучшения.

© OpenNet