เมื่อไม่นานมานี้ แพนด้าสังเกตเห็นว่ามี Package แปลกๆ วิ่งเข้า วิ่งออก ในระบบของแพนด้า และใช้ Port 53 (DNS) Protocol UDP ออกจากเครืองข่ายของแพนด้า จากการหาข้อมูลเป็นการบุกรุกแบบ DNS amplification attack (มีอีกชื่อหนึ่งว่า DNS reflection attack) ดังรูปที่ 1 ซึ่งเป็นวิธีการส่ง DNS request ไปยัง DNS resolver ที่ต่าง ๆ โดยปลอมแปลง IP address ต้นทางในแพ็คเก็ตเป็น IP address ของระบบเป้าหมาย ทำให้ DNS response ที่ตอบกลับมาจาก DNS resolver นั้น ถูกส่งไปยังระบบเป้าหมายแทนที่จะเป็นผู้โจมตี ยิ่งมีการส่ง DNS request ในทำนองนี้เป็นจำนวนมากเท่าใด ก็จะมี DNS response ตอบกลับไปยังระบบเป้าหมายมากยิ่งขึ้น จนกระทั่งถึงจุดหนึ่งที่ทำให้ Network bandwidth ของระบบเป้าหมายมีไม่เพียงพอต่อปริมาณข้อมูลจำนวนมากที่ได้รับ เลยใช้ฐานบ้านแพนด้าเป็นส่วนหนึ่งของการโจมตีด้วยเลย
DNS amplification is a Distributed Denial of Service (DDoS) attack in which the attacker exploits vulnerabilities in domain name system (DNS) servers to turn initially small queries into much larger payloads, which are used to bring down the victim’s servers.
DNS amplification is a type of reflection attack which manipulates publically-accessible domain name systems, making them flood a target with large quantities of UDP packets. Using various amplification techniques, perpetrators can “inflate” the size of these UDP packets, making the attack so potent as to bring down even the most robust Internet infrastructure.
/ip firewall address-list
#แก้ไขบรรทัดนี้ให้เป็น Network ID ของ LAN
add address=192.168.1.0/24 list=LAN
/ip firewall filter
add action=drop chain=input
src-address-list=block_hack_from_internet
comment= "Prevent DNS amplification attack"
add action=add-src-to-address-list
address-list=block_hack_from_internet
address-list-timeout=2m chain=input dst-port=53
src-address-list=!LAN protocol=udp
add action=add-src-to-address-list
address-list=block_hack_from_internet
address-list-timeout=2m chain=input dst-port=53
src-address-list=!LAN protocol=tcp
add action=drop chain=input src-address-list=block_hack_from_internet