เมื่อไม่นานมานี้ แพนด้าสังเกตเห็นว่ามี Package แปลกๆ วิ่งเข้า วิ่งออก ในระบบของแพนด้า และใช้ Port 53 (DNS) Protocol UDP ออกจากเครืองข่ายของแพนด้า จากการหาข้อมูลเป็นการบุกรุกแบบ DNS amplification attack (มีอีกชื่อหนึ่งว่า DNS reflection attack) ดังรูปที่ 1 ซึ่งเป็นวิธีการส่ง DNS request ไปยัง DNS resolver ที่ต่าง ๆ โดยปลอมแปลง IP address ต้นทางในแพ็คเก็ตเป็น IP address ของระบบเป้าหมาย ทำให้ DNS response ที่ตอบกลับมาจาก DNS resolver นั้น ถูกส่งไปยังระบบเป้าหมายแทนที่จะเป็นผู้โจมตี ยิ่งมีการส่ง DNS request ในทำนองนี้เป็นจำนวนมากเท่าใด ก็จะมี DNS response ตอบกลับไปยังระบบเป้าหมายมากยิ่งขึ้น จนกระทั่งถึงจุดหนึ่งที่ทำให้ Network bandwidth ของระบบเป้าหมายมีไม่เพียงพอต่อปริมาณข้อมูลจำนวนมากที่ได้รับ เลยใช้ฐานบ้านแพนด้าเป็นส่วนหนึ่งของการโจมตีด้วยเลย

DNS amplification is a Distributed Denial of Service (DDoS) attack in which the attacker exploits vulnerabilities in domain name system (DNS) servers to turn initially small queries into much larger payloads, which are used to bring down the victim’s servers.
DNS amplification is a type of reflection attack which manipulates publically-accessible domain name systems, making them flood a target with large quantities of UDP packets. Using various amplification techniques, perpetrators can “inflate” the size of these UDP packets, making the attack so potent as to bring down even the most robust Internet infrastructure.
Script ป้องกัน DNS Amplifier Attack ของ Mikrotikเอา Script ป้องกัน DNS Amplifier Attack ของ Mikrotik มาฝากกันครับ ซึ่งสิ่งที่น่าสนใจคือวิธีทำงานของสคริปต์นี้ เพราะสคริปต์นี้สามารถนำไปใช้งานได้หมด ไม่ว่ากับการเชื่อมต่อ WAN ในลักษณะไหน (DHCP, PPPOE และอื่นๆ) รวมถึงสามารถทำงานได้กับทั้ง Wan เดียว หรือหลาย WAN ไม่ว่าจะมีการทำ Load Balance หรือไม่ก็ทำได้หมด – ผมเลยทำวิธีใช้งาน และบรรยายวิธีการ config Mikrotik ในลักษณะเป็น module ที่มีความยืดหยุ่นในการทำงานมาฝากกันไปด้วยเลย :)ถ้าเห็นว่ามีประโยชน์อย่างไร ฝาก Like ฝาก Share ให้ด้วยนะคร๊าบบ.. ^_^เนื่องจากเพจไม่สามารถอัพโหลดไฟล์ได้ ตัวไฟล์ของสคริปต์เลยไปเก็บไว้ที่ห้องสมุดไฟล์ของกรุ๊ป Mikrotik Tutorial โหลดได้จากลิงค์นี้ครับ https://www.facebook.com/groups/mikrotiktutorial/945610642275497/ถ้าไม่สามารถเข้าไปโหลดไฟล์ได้ ให้ทำการ Join Group ก่อนครับ 🙂
โพสต์โดย Mikrotik Tutorial เมื่อ วันพฤหัสบดีที่ 25 มกราคม 2018
/ip firewall address-list
#แก้ไขบรรทัดนี้ให้เป็น Network ID ของ LAN
add address=192.168.1.0/24 list=LAN
/ip firewall filter
add action=drop chain=input
src-address-list=block_hack_from_internet
comment= "Prevent DNS amplification attack"
add action=add-src-to-address-list
address-list=block_hack_from_internet
address-list-timeout=2m chain=input dst-port=53
src-address-list=!LAN protocol=udp
add action=add-src-to-address-list
address-list=block_hack_from_internet
address-list-timeout=2m chain=input dst-port=53
src-address-list=!LAN protocol=tcp
add action=drop chain=input src-address-list=block_hack_from_internet