LinuxRouterWindows Server

DNS 再帰的な問い合わせ DDos攻撃について

By
1 Mins read

世の中の「DNS の再帰的な問い合わせを使った DDoS 攻撃」が相変わらず多いようです。

公開している外向きのDNSサーバーは再帰的な問合せをローカルIP以外からは使用できないよう設定する必要がありますが、昔のDNSサーバーは標準で外向きにも答えるようになっているものが多いみたいです。今回、色々な場所=GlobalIPから攻撃が飛んできているのもそのためであり、一定期間でアクセス元が変わってしまい捕まえるのが大変な状況になります。(また、被害者が加害者になってしまう構図も問題です)

以下はRTX1200でDDos攻撃を防ぐ目的で調査した際に判明したことを覚書しておきます。

DNSサーバーで有名なBIND(LINUX)はローカルIPからの問い合わせのみ再帰的な問合せに応答し、外部からの問い合わせには応答しない設定が出来ますので、DMZ内などに1台置くことでセキュリティ対策と保持Domainサーバーの2機能を賄うことが可能となっています。

一方、ActiveDirectryに対応する関係でWindows DNSサーバーを使用している会社さんも結構います。WindowsのDNSサーバーはローカルIPからの問い合わせと外部からの問い合わせに対する切り替え機能がないので、再帰的な問合せに対し応答するかしないかの2つしか設定できないので、社内に上位DNS情報のキャッシュサーバーを置きたい且つ、今まで通り保持Domainは社内のDNSサーバーを使いたいといった場合、セキュリティーの関係上、DMZに外用DNSサーバー、ローカルに内用DNSサーバーと2台立てることが必要となります。

プロバイダーが公開しているDNSを上位指定することでキャッシュサーバーを立てなくても解決できますが、多数のクライアントがある時、引っ越しなどの時は大変になりますね。(そこまで考えなくても良いかもしれませんが。。。)

雑学でした。。。

Read more
ASPRouter

「DNS Attack」 「DDoS攻撃」 「DNS amp」 に対応する!RTX1200

By
1 Mins read

ネットが以上に遅い。。。調査開始。。。

誰かがDNS QueryをうちのDNSへ投げまくって、RTX1200ルーターがCPU振り切ってる!!!
ちなみに「iri.so」「qww1.ru」のDomain名で大量に来てる

こちらにも

使用環境「RTX1200 Rev.10.01.53」

■NAT masqueradeのセッション数を制限する

nat descriptor masquerade session limit 1 1 2000

RTX1200は20000個までいけるが、1つのNATで2000個までに制御する

■Qos制御(Dynamic Class Control

speed lan2 1000m
queue lan2 type shaping
 
queue lan2 class property 1 bandwidth=900m,1000m
queue lan2 class property 2 bandwidth=90m,1000m
queue lan2 class property 4 bandwidth=200k
queue lan2 class property 5 bandwidth=100k
 
queue lan2 class control 4 forwarding=5 watch=destination threshold=10%,20 time=86400
  
queue class filter 1 4 ip (DMZ内のDNS IP) * udp domain *
queue class filter 2 1 ip * * * * *
  
pp select 1
queue pp class filter list 1 2
pp select none

注意1 なぜか?VPN用のTunnelがあるのだがここを通るパケットが勝手にclass2へ流れてしまうようだ。。。「queue tunnel class filter list 2」と設定しclass1へ流れるように指定しclass2を消してもclass2が勝手に作られてそちらに流れてしまう。。。はて?取り急ぎ、class2も作成し、class4,class5で調整する。(RTX1200の不具合か?設定ミスなのか。。。)

注意2 Config修正した際に変更が正しく反映されず、再起動が必要となる場合があった(詳しく調べていないが、なんらかのClear処理が必要かもしれない)

注意3 Yamahaの「Dynamic Class Control」と「帯域制御」は少し違うので注意が必要

■帯域制限について

説教部屋を作成

・WANからpp=LAN2に対してDMZ内のDNS Serverに対する53port(domain)のアクセスを見張りclass4へ誘導する
(その他通信はClass1へ誘導)

・「watch=destination」の設定でDNS Serverに対する過重アクセス元となるGlobalIPをターゲットにする。

・class4、200kbpsの10%を20秒以上連続したアクセス(GlobalIP)に対して24時間(time86400)はclass5へ移動させる。(様子見としてrejectしていない)

うちの環境ではこれで撃退可能となりました。

確認コマンド
show status qos all

帯域制限のみで対応可能と思われるが、念のためNATセッション数も絞ってみた。
相変わらずガンガン来てるけど、スイスイのネットワークに戻りました☆

参考サイト1
参考サイト2

Read more
ExchangeServerWindows Serverパソコンのこと

Exchange Server 2010 移行について

By
1 Mins read

Exchange Server 2010 を同一ドメイン内で、新サーバーへお引越しした際の注意点!

同一ドメインに新規にExchange Server 2010をインストールし、EMCを使用してメールボックスの移動を行う。

EMCを使用した移動だけではDatabase内のデータを全て移動させることが出来ないのでShellコマンドを使用して残データを移動させる

#データベース内を空にする(残骸を削除)
引っ越し元:Mailbox Database 1234567890
引っ越し先:Mailbox Database send123456

#メールボックスの確認
Get-Mailbox -Database 'Mailbox Database 1234567890'
 
#メールボックスのプラン確認
Get-Mailbox -Database 'Mailbox Database 1234567890' -Archive
 
#調達メールボックスの確認
Get-Mailbox -Database 'Mailbox Database 1234567890' -Arbitration
 
#調達メールボックスの移動
Get-Mailbox -Arbitration -Database 'Mailbox Database 1234567890' | New-MoveRequest -TargetDatabase 'Mailbox Database send123456'

この後、EMCを使用して引っ越し元のDatabseを削除して完了

#パブリックフォルダを移動し削除(残骸を削除)
引っ越し元パブリックフォルダ:Public Folder Database 0123456789
引っ越し元Hostname:hoge.moto.local
引っ越し先Hostname:hoge.send.local

#パブリックフォルダ確認・調査
Get-PublicFolderDatabase 'Public Folder Database 0123456789' | Format-List
 
Get-PublicFolderStatistics -Server hoge.moto.local
Get-PublicFolder -Server hoge.moto.local
Get-PublicFolder -Server hoge.moto.local \ -Recurse | Remove-PublicFolder -Server hoge.send.local -Recurse:$True -ErrorAction:SilentlyContinue
Get-PublicFolder -Server hoge.moto.locall \Non_Ipm_Subtree -Recurse | Remove-PublicFolder -Server hoge.send.local -Recurse:$True -ErrorAction:SilentlyContinue
 
#Exchange Server 2010に用意されているPowerShellを使用して移動処理
C:\[インストール先Path]\V14\Scripts\MoveAllReplicas.ps1 -Server hoge.moto.local -NewServer hoge.send.local
 
#パブリックフォルダDatabase削除
Remove-PublicFolderDatabase -Identity 'Public Folder Database 0123456789'

Read more
日記

Exchange Server 2010 クライアントのメールボックス使用量確認コマンド

By
1 Mins read

Exchange Server 2010 クライアントのメールボックス使用量の確認がEMCでは出来ないのでShellコマンドにて確認する

Get-MailboxStatistics -Server 'hoge.hogehoge.local'
Get-MailboxStatistics -Database 'Mailbox Database 1234567890'
Get-MailboxStatistics -Identity 'hogehoge\user01' | select displayname, totalitemsize

Read more
ExchangeServerWindows Serverパソコンのこと

Exchange Server 2010 アドレス帳の更新

By
1 Mins read

Exchange Server 2010 に新規ユーザー登録時や、メーリングリストを変更した際にグローバールアドレス帳の反映がクライアントに遅くなることがあるので、以下のコマンドを送ることで少しでも早める!

注意!クライアントサイドに確実に反映されるわけではない

Update-GlobalAddressList -Identity "既定のグローバル アドレス一覧"
Update-AddressList -Identity "すべてのグループ"
Update-AddressList -Identity "すべてのユーザー"

また、クライアントOutlookの設定では標準でExchangeをキャッシュモードで利用しているのでオフラインアドレス帳(OAB)の反映もおこなう必要がある。既定ではこの更新時間は毎日5:00時に設定されている。

Exchange Server 2010のEMCにて「組織の構成」「メールボックス」の「オフラインアドレス帳」タブを開き「既定のオフライン アドレス帳」を右クリックし「更新」をおこなってあげる。

Read more