В прошлом году летом я приводил краткий анализ количества открытых DNS-резолверов (читай источников DDoS-атак DNS Amplification) по странам. Ради интереса решил из того же shodan сделать новогодний отчет и посмотреть динамику. Год новый, но дыры старые.
Новогодний отчет по DNS на shodan по сравнению с июньским показал такую динамику в интегральном TOP-10:
| 2016 | 2017 | Fixed, % | |
| China | 1066365 | 604080 | 43,35 |
| Taiwan | 308033 | 244719 | 20,55 |
| USA | 254265 | 206442 | 18,81 |
| Korea | 252341 | 232386 | 7,91 |
| Russia | 172123 | 131060 | 23,86 |
| India | 160751 | 115616 | 28,08 |
| Brazil | 155392 | 155889 | -0,32 |
| Turkey | 97970 | 74572 | 23,88 |
| Japan | 58950 | 49473 | 16,08 |
| Italy | 46168 | 54122 | -17,23 |
Страны с положительным процентом устранения уменьшили количество открытых резолверов, с отрицательным - увеличили.
В целом устройств с открытым DNS стало меньше. Если сделать подобный срез по всему миру, то увидим уменьшение количества резолверов:
| TOTAL | 3537994 | 2710631 | 23,39 |
Дифференциальный же TOP-10 на базе интегрального по проценту закрытых резолверов DNS выглядит следующим образом:
И в табличном виде:
| Country | Fixed, % | |
| 1 | China | 43,35 |
| 2 | India | 28,08 |
| 3 | Turkey | 23,88 |
| 4 | Russia | 23,86 |
| 5 | Taiwan | 20,55 |
| 6 | USA | 18,81 |
| 7 | Japan | 16,08 |
| 8 | Korea | 7,91 |
| 9 | Brazil | -0,32 |
| 10 | Italy | -17,23 |
Итого, видно, что в IPv4-пространстве мира стало в среднем на 23,4% меньше DNS-серверов, которые дают всем возможность использовать их как источник DDoS-атак.
Возможные причины:
- Инженеры перенастроили DNS-сервера на работу правильным образом
- Инженеры отключили неиспользуемые сервисы
- Хостеры/провайдеры заблокировали часть источников паразитного трафика
- Обновленное ПО по умолчанию закрывает рекурсию
- Shodan перестал видеть часть уязвимых серверов
- Ваш вариант
Как закрыть дырявый DNS - написано здесь (по-русски) и здесь (по-нерусски) .
