[COLOR=#333333][FONT=Helvetica]เมื่อประมาณวันที่ 18 มีนาคมที่ผ่านมา Spamhaus ซึ่งเป็นผู้ให้บริการฐานข้อมูลบัญชีดำหมายเลขไอพี (IP Blacklist) สำหรับใช้ในการกรองอีเมลขยะที่มีผู้ใช้บริการสูงมากของโลกรายหนึ่งได้ถูกกระหน่ำโจมตีอย่างหนักมาเรื่อยๆ จนต้อง[URL=“http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho”]ย้ายไปไปใช้บริการ CloudFlare ในวันที่ 19 มีนาคมเพื่อช่วยลดภาระของเครือข่ายที่ตั้งเครื่องเซิร์ฟเวอร์หลักของระบบ Spamhaus ลง[/FONT][/COLOR]
[COLOR=#333333][FONT=Helvetica]หลังจากย้ายระบบไปได้หนึ่งวัน ทาง CloudFlare ก็ได้ออกรายงานฉบับแรกถึงการโจมตีที่เข้าไปหา Spamhaus ว่าเป็นความพยายามในการทำให้ระบบฐานข้อมูลบัญชีดำหมายเลขไอพีที่ส่งอีเมลขยะใช้การไม่ได้ เพื่อลดความเข้มงวดของระบบกรองอีเมลขยะทั่วโลกลง ซึ่งในการโจมตีครั้งนั้นมีปริมาณการโจมตีเบื้องต้นประมาณ 10Gbps และไปแตะระดับถึง 75Gbps ภายในวันเดียวกัน โดยต้นทางของการโจมตีส่วนใหญ่เกิดจากการใช้เทคนิคที่เรียกว่า [URL=“http://www.icez.net/blog/68783/ddos-dns-amplification-attack”]DNS Amplification Attack ไปยังเครื่องที่ให้บริการ DNS แบบเปิดจำนวนมาก ซึ่งด้วยโครงสร้างการทำงานของ CloudFlare ทำให้การโจมตีครั้งแรกนี้ล้มเหลวไป (เพื่อให้เห็นภาพ: ความเร็ว 75Gbps ทำให้คุณสามารถดาวน์โหลดไฟล์ภาพยนตร์บลูเรย์ขนาด 50GB ได้ภายในเวลา 5 วินาทีนิดๆ หรือสามารถดาวน์โหลดไฟล์ดีวีดีปกติได้ภายในเวลา 0.5 วินาที)[/FONT][/COLOR]
[COLOR=#333333][FONT=Helvetica]จากนั้นในวันที่ 22 มีนาคมก็ได้มีการโจมตีเข้ามาอีกครั้งที่ระดับ 120Gbps เข้าไปยังเครือข่ายของ CloudFlare แต่เมื่อไม่ประสบผลสำเร็จ จึงได้มีการเบนเป้าหมายไปโจมตียังผู้ให้บริการที่ CloudFlare เชื่อมต่ออยู่บางส่วนแทน โดยมีรายงานจากทางผู้ให้บริการเครือข่ายระดับ Tier 1 ถึงการโจมตีกว่า 300Gbps จนทำให้เครือข่ายในบางพื้นที่แถบยุโรปใช้งานได้ช้าลงเป็นอย่างมาก และนอกจากนี้ การโจมตีดังกล่าวยังทำให้ London Internet Exchange (LINX) ซึ่งเป็นศูนย์แลกเปลี่ยนเครือข่ายของลอนดอนล่มไปชั่วโมงกว่าๆ ในวันที่ 23 อีกด้วย[/FONT][/COLOR]
[COLOR=#333333][FONT=Helvetica]ทั้งนี้ทางทีมวิศวกรเครือข่ายของ CloudFlare ได้ร่วมกับทางผู้ให้บริการเครือข่ายเหล่านี้ในการปรับปรุงความปลอดภัยเครือข่ายเพิ่มเติม เพื่อให้ทนทานต่อการโจมตีรูปแบบนี้ไว้แล้วครับ และนอกจากนี้ยังได้แนะนำว่า สำหรับท่านที่ติดตั้ง DNS Server ไว้[I]อย่าเปิด Recursion[/I] เพื่อไม่ให้เครื่องของท่านถูกใช้ในการการโจมตีเครื่องคนอื่นได้ครับ[/FONT][/COLOR]
ที่มา : http://www.blognone.com/node/42551
แหล่งข่าวอื่นๆ
At CloudFlare, we deal with large DDoS attacks every day. Usually, these attacks are directed at large companies or organizations that are reluctant to talk about their details. It's fun, therefore, whenever we have a customer that is willing to...
icez
March 28, 2013, 12:54pm
2
จะบอกว่ามีเครื่อง server หลายๆ ท่านในนี้ไปยิงเค้าเหมือนกันนะครับ ด้วยไอ้ DNS Amplification Attack นั่นแหละ … check ip กันได้ที่ http://openresolverproject.org/ ว่าเครื่องท่านอยู่ในกลุ่มเสี่ยงรึเปล่านะครับ
ปล. สำหรับ network วง 103.246.16-19 , 103.7.56-59 กันไว้ให้ที่ core router แล้วฮะ
ค่อย ยังเชื่อ วง ผมรอด = =a
ICOM
March 28, 2013, 2:34pm
4
อ้าวแล้วไงละฉัน
Open Resolver Search Results for [B]203.146.xxx.xx/24[/B]
[TABLE]
[TR]
[TD]IP[/TD]
[TD]Alternate IP[/TD]
[TD]time_t[/TD]
[TD]RCODE[/TD]
[/TR]
[TR]
[TD]203.146.xxx.xx
[/TD]
[TD][/TD]
[TD]1364128113[/TD]
[TD]0
[/TD]
[/TR]
[/TABLE]
หมายความว่าเครื่องนี้เปิด recursion resolve อยู่ใช่ไหมครับ
แล้วจะปิดยังไงละครับ
icez
March 28, 2013, 2:38pm
5
แก้ /etc/named.conf ใน options หา recursion yes; แล้วแก้เป็น no ครับ ถ้าไม่มีก็เพิ่มไป
จะได้ประมาณนี้
options {
…
recursion no;
};
icez:
จะบอกว่ามีเครื่อง server หลายๆ ท่านในนี้ไปยิงเค้าเหมือนกันนะครับ ด้วยไอ้ DNS Amplification Attack นั่นแหละ … check ip กันได้ที่ http://openresolverproject.org/ ว่าเครื่องท่านอยู่ในกลุ่มเสี่ยงรึเปล่านะครับ
ปล. สำหรับ network วง 103.246.16-19 , 103.7.56-59 กันไว้ให้ที่ core router แล้วฮะ
เพียบเลย 555+:70bff581:
แก้ไขก่อน ส่วนใหญ่คือเครื่อง DA CentOS , FreeBSD ไม่พบ
ICOM
March 28, 2013, 3:03pm
7
ของผม feeBSD แฟ้มนี้ไปอยู่ที่ /var/named/etc/namedb/named.conf
มี
options {
directory “/etc/namedb”;
pid-file “/var/run/named/pid”;
dump-file “/var/dump/named_dump.db”;
statistics-file “/var/stats/named.stats”;
allow-transfer { none; };
recursion no;
};
เห็นอันอื่นๆมี " " กำกับอยู่ แล้ว recursion ที่เพิ่ม no เข้าไปต้องเป็น “no” ไหมครับ
การปิด recursion ของ BIND ลองอ่านดูครับ
ปล. ต้องมี allow-recursion จาก ip เราด้วยนะครับ ไม่งั้นมีปัญหาครับ
คนเขียนข่าว ชื่อคุ้นๆ :015:
ปกติมีตัวนี้ครับ ให้ network ของเราอ่านได้ เพิ่มเติมตาม pizzaman เลยครับ
options {
…
recursion no;
allow-recursion { localnets; };
…
};
แต่จะมีบาง DNS server ที่ยังเป็น any หรือ yes แบบ DNS Server ของ ISP ผมกำลังนั่งตรวจสอบอยู่ รอคนอื่นมาเสริมครับ
linux bind รุ่นก่อนจะไม่ได้ปรับมาให้แต่หลังเหมือนว่าจะใส่มาให้เลยนะครับ
[COLOR=#333333][I]recursion no;
[/I][/COLOR]allow-recursion { localnets; };
ผมเช็คของผมก็มี
แต่ไหนไปติดลิสเพียบเลยอะ
หลักการมันยังไงเหรอครับ เราจะเช็คช่องโหว่ตรงนี้ยังไง
มันมีความแตกต่างระหว่าง
recursion no;
และ
allow-recursion { };
นะครับ
อันแรกคือปิด recursion เลย ไม่หา ip ของโดเมนต่างๆ ข้างนอกเลย ก็จะ strict ดีครับ แต่ถ้าใช้แนวนั้น ก็ต้องแก้ไข /etc/resolv.conf ให้ไปใช้ nameserver ของ isp อื่น ที่ยอมทำตัวเป็น resolver ให้เรา อย่าใช้ 127.0.0.1 หรือ ip ของเครื่อง เป็น nameserver เพราะมันจะไม่ตอบเวลาถามหา ip ของโดเมนที่ไม่อยู่ในระบบเรา
อันหลังคือยอมให้ named ของเราเป็นทั้ง authoritative ตอบกลับสำหรับโดเมนในระบบเราให้กับโลกภายนอกทั้งหมด (ซึ่งก็ควรจะตอบอยู่แล้ว) และ เป็นทั้ง resolver คอยไปถาม nameserver ข้างนอกให้กับเราด้วย สำหรับ query ที่มาจากพวกใน allow-recursion น่ะครับ (แต่ไม่ตอบเวลาทีคนข้างนอกถามหาโดเมนข้างนอก)
ดังนั้น เลือกเอาครับ ว่าจะทำงานแบบไหน
อันนี้วิธีปิดของ Windows Server นะครับ
cloudflare เจ๋งจริงๆ มีทั้งพระเอก และตัวร้าย
ก่อนเจอหน้านี้ เข้าไปตรงไหนก่อนหรอครับ พอดีเจอมี ip เครื่อง Windows ลูกค้าผมเหมือนกัน
ตอบแล้วนะครับ ที่นี่นะครับ พอดีอยากรวมกันไว้ ที่ How to
ข่าวออกสื่อหลัก น่าอ่านครับ
[COLOR=#362B36][FONT=Helvetica]-- DDoS Spamhaus ขนาดใหญ่ที่สุดในโลกขนาด 300 Gbps เมื่อวันก่อน ข่าวมาว่า Google เข้ามาช่วยรองรับทราฟฟิคปริมาณมหาศาลนี้ไว้ด้วย[/FONT][/COLOR]