[DNS SECURITE] Response Rate Limiting (RRL)

Cette option introduite dans les services DNS sur Windows Server 2016, réduit les risques d'attaques par amplification DNS. Ce type d'attaque en déni de service, vise à envoyer un nombre important de requêtes DNS en modifiant l'IP réseau de la source. Le réseau victime peut recevoir une quantité importante de réponse. Si les serveurs DNS utilisent DNSSEC l'utilisation de la bande passante sera encore plus élevée.

Les serveurs DNS répondant à des requêtes venant d'Internet sont encore plus vulnérables et peuvent servir d'intermédiaire pour diffuser un volume important d'information vers un site cible. Dans ce cas, l'attaquant envoi une requête au serveur DNS en remplacant la source, par l'IP de la cible.

Dans un fonctionnement normal, une même source n'a pas de raison d'envoyer sans cesse les mêmes requêtes DNS sur un serveur. Les mécanismes de mise en cache côté client et serveur permettent de limiter ce type de requête superflue. Mais dans le cas d'une attaque par amplification, c'est le but recherché.

La fonctionnalité RRL est par défaut désactivée sur Windows Server 2016. Pour vérifier son état, vous pouvez utiliser une des deux commandes powershell dont le résultat est identique :

 Get-DnsServerResponseRateLimiting  

 Get-DnsServerRRL

Des paramètres par défaut sont proposés.

La valeur "ResponsesParSec" indique le seuil du nombre de réponses maximale admise avant que le serveur refuse de continuer à répondre. En réalité, il s'agit d'une moyenne calculé sur la durée de "WindowInSec". Donc si "ResponsesPerSec" vaut 5 et "WindowsPerSec" également, le serveur ne répondra pas s'il reçoit 25 fois la même demande en 5 secondes. Il n'y aura pas de blocage s'il reçoit 20 demandes la première seconde et ensuite plus rien. La valeur "ErrorPerSec" définit la moyenne maximale des réponses en erreur que le serveur enverra au client d'un réseau, toujours sur la période "WindowsInSec".



Vous pouvez trouver plus d'information sur les valeurs ResponbsesPerSec, ... dans le lien suivant :

https://docs.microsoft.com/en-us/archive/blogs/teamdhcp/response-rate-limiting-in-windows-dns-server 

 

Pour activer la fonctionnalité utiliser la commande :

  Set-DnsServerResponseRateLimiting -Mode Enable -Force


La commande suivante permet de désactiver le mode RRL

  Set-DnsServerResponseRateLimiting -Mode Disable -Force

Si vous activer l'option, il est également possible d'utiliser des exceptions. Par exemple, la commande suivante crée une liste d'exclusion pour la zone DNS liée au domaine Active Directory et la zone de la forêt dont le FQDN est spécifié.
 

 Add-DnsServerResponseRateLimitingExceptionlist -Name "ExcludeRRLList1" -Fqdn "EQ,*.htrab.lan" 

Si votre serveur DNS dispose de plusieurs interfaces réseau, il est possible de faire une exception pour une interface spécifique avec l'option -ServerInterfaceIP. Vous pouvez également faire une exception pour un sous-réseau spécifique avec l'option "-ClientSubnet".
Pour plus d'information consulter le lien suivant :
 
 
 
 

 

Tags: 

Theme: 

Systeme: 

Annee: