DNS 53 증폭공격에 대해 궁금합니당

클래식   
   조회 9070   추천 0    

 DNS 53 증폭공격이 수많은 DNS서버에 조작된 패킷을 보내서 공격대상지IP로 패킷을 날리는거자나요?
 근데 서버에서 UDP를 막으면 dNS쿼리가 안오니까 인터넷이 안되고


 지금 PC방에 디도스공격이 DNS증폭공격으로 1~2기가 254개 아이피를 사용하면 전체아이피에 트래픽을 5~15메가 분산시켜서 dns증폭걸더라고요.
 그래서 여기서 궁금하게 있습니다.

 1. PC방 전용선 통신사측에서 UDP53 포트를 완전히 차단시켜서 PC방 라우터 장비로 유입되는 UDP 53을 없애준다.
 2. 내부망에 DNS서버를 구축 후 별도 회선인 가정용 인터넷으로 통신한다
 3. 매장내 PC들은 PC방 전용선으로 인터넷이나 게임에 연결되지만, DNS정보는 내부망 DNS서버에서 DNS쿼리를 받아온다.


 이렇게 하면 PC방 전용선으로부터 들어오는 DNS증폭을 막으면서 PC방은 인터넷이 가능하지않나 싶습니다.


 가능한건가요? 디도스 문에 머리통 팁解키갼틸/p>


pfsense로 PC방 전용선, 가정용 SK 두개 꼽아서 쓰고있어용..

진짜 뒤질거같아요

작년 추석엔 12시간짜리 디도스추석내내 들어와서 영업 못했고

이번 설에는 직전에 디도스들어와서 설내내 영업망칠뻔했어요...
다행히 이렇게 구축해놓고 아이피만 스왑시키니까 설연휴 무사히 넘기긴했는데 스트레스입니다 ㅠ




dateno1 2023-02
해당 포트로 들어오는 공격만 막을꺼라면 그렇게 우회시키면 될꺼같긴한데, 다른 타입 공격 아에 안 오나요?

라우터 성능이 엄청나네요; (저런 스팩이라도 회선의 처리능땜에 꽤 놀고있을껀데, 좀 과해보이네요) (다만 복잡한 필터를 걸어서 몇기가씩 처리할려면 넉넉한게 좋긴합니다)

시험삼아 적당한 컴으로 서버 올린후 테더링 걸어서 작동 시험및 공격 들어올떄 작동 유무 시험후 괜찮다면 라우터에 DNS 서버 추가해서 회선 추가하시면 될꺼같네요
찬이 2023-02
말씀하신 아이디어로 가능합니다.
dns 서버에서 업스트림설정할 때
가정용 회선은 이미 있다면 사용하셔도 되고 추가 회선을 사용하지 않을려면 DNS over TCP 또는 DNS over TLS를 사용하셔도 됩니다. 그럼 UDP를 사용하지 않아서 53/udp를 막아도 동일 회선으로 통신 가능합니다.
김진규 2023-02
가능할 것 같습니다만 사전에 LG쪽에 확인부터 해보셔야할 것 같습니다.
말씀하신 방법대로는 DNS공격은 막을 수 있지만 DoS형태라서 트래픽이 잠식되는 건 막을 수 없을 겁니다.
또한 공격 방식을 바꾸면 의미가 없어질 것 같습니다.
아직 KISA에서 DoS 대피소 운영하는지 모르겠는데 이용가능한지 확인해보시기 바랍니다.
파닥파닥 2023-02
dns 랑 동시에 time server (ntp) 도 같이 구성해서 PC 방 서비스망과 별개로 운영하는것이 좋을 것으로 보입니다.
ntp 도 udp 트래픽이라 충분히 악용 가능한 부분이고 실제로 공격사례도 많지요.

통신사에서 해줄지는 모르겠지만 그렇게 한 다음 상단 장비 ACL 으로 inbound 트래픽에 대해서 필요한거 외에 일괄 drop 시키면 될 것 같은데 이 부분은 PC 방에서 실제 트래픽 사용을 어떻게 하는지 보고 수행해야 할 부분일것 같네요.
일반적인 게임 플레이를 할떄는 outbound 트래픽이 발생하지 inbound 트래픽이 발생하는건 아니니까요.

DDoS 는 대역폭이 매우 충분하지 않는한 가입자 네트워크단에서 막는건 불가능에 가깝습니다. 최대한 대역폭 충분한 지점에서 흘려버리는 식으로 처리해 줘야 살아남습니다.
MOONL 2023-02
내부에 DNS서버 만드시고 Cloudflare에서 제공하는 warp를 사용해서 dns서버만 업데이트 하면 어떨까요?
cloudflare warp가 vpn로 cloudflare 서버에 접속하더라고요
짧은 지식으로 이론적인 거지만, 내부망에 pc 1대만 dns서버 올리고 cloudflare로 dns만 받아오게 해서 내부 피씨들이 dns서버에서 ip를 받아오는 겁니다.
대신 내부로 들어오는 udp53을 전부 drop하거나 통신사 장비에서 막아달라고 요청하는겁니다.
아니면 통신사 dns서버에서 오는 것만 받고 다른 dns서버에서 오는건 drop시키는건 어떤가요?
통신사 dns에서도 많이 날라오나요??


제목Page 11/103
2023-02   7549   꿀호떡
2023-02   8538   misaka
2023-02   10680   김효수
2023-02   10680   mydiarybiz
2023-02   9495   Uinx
2023-02   7225   머들개여리
2023-02   9505   화정큐삼
2023-02   8934   Greeneyes
2023-02   11898   oing1215
2023-02   9333   제로펩
2023-02   7221   캔위드
2023-02   6140   딥마인드
2023-02   6844   아름이
2023-02   6598   언덕
2023-02   9454   매화12
2023-02   9071   클래식
2023-01   10780   제로펩
2023-01   9684   pavilion
2023-01   9672   푸른해원
2023-01   10988   푸른해원