Domov Securitywatch Ste zombie? ako skontrolovať otvorené dns resolvery

Ste zombie? ako skontrolovať otvorené dns resolvery

Video: É ste zur, le mode zombi cha déchire ! (November 2024)

Video: É ste zur, le mode zombi cha déchire ! (November 2024)
Anonim

Nedávny útok Distribuovaného odmietnutia služby proti medzinárodnej skupine zameranej na boj proti spamu SpamHaus použil techniku ​​nazývanú reflexia DNS na generovanie obrovského množstva prenosu pre SpamHaus a preťažil ich servery. Táto technika spočíva v použití tisícov nesprávne nakonfigurovaných serverov DNS na zosilnenie útoku DDoS, v tomto prípade faktorom niekoľko stoviek. Existuje veľa k nájdeniu; Projekt Open DNS Resolver identifikoval viac ako 25 miliónov takýchto serverov. Je váš (alebo vaša spoločnosť) jedným z nich?

Moja kolegyňa Security Watch Fahmida Rashid má vo svojom suteréne prekladač DNS, ale pre väčšinu domácich a malých obchodných sietí je DNS iba ďalšou službou poskytovanou poskytovateľom internetových služieb. Pravdepodobnejším miestom problémov je podnik dostatočne veľký na to, aby mal vlastnú úplnú sieťovú infraštruktúru, ale nie dosť veľký na to, aby mal správcu siete na plný úväzok. Keby som pracoval v takejto spoločnosti, chcel by som skontrolovať svoj DNS prekladač, aby sa ubezpečil, že ho nemožno pripísať do zombie armády.

Čo je moje DNS?

Kontrola vlastností internetového pripojenia alebo zadanie IPCONFIG / ALL v príkazovom riadku nemusí nevyhnutne pomôcť identifikovať adresu IP vášho servera DNS. Je pravdepodobné, že vo vlastnostiach TCP / IP internetového pripojenia je nastavené automatické získanie adresy servera DNS a IPCONFIG / ALL pravdepodobne zobrazí internú adresu NAT, napríklad 192.168.1.254.

Trochu hľadania vyšlo užitočné webové stránky http://myresolver.info. Keď navštívite túto stránku, nahlási vašu IP adresu spolu s adresou vášho prekladača DNS. Vyzbrojený týmito informáciami som prišiel s plánom:

  • Prejdite na adresu http://myresolver.info a nájdite IP adresu vášho rekurzívneho prekladača DNS
  • Ďalšie informácie získate kliknutím na odkaz {?} Vedľa adresy IP
  • Vo výslednej tabuľke nájdete jednu alebo viac adries pod nadpisom „Oznámenie“, napr. 69, 224, 0, 0/12
  • Skopírujte prvú z nich do schránky
  • Prejdite na adresu Open Resolver Project http://openresolverproject.org/ a vložte adresu do vyhľadávacieho poľa v hornej časti.
  • Zopakujte všetky ďalšie adresy
  • Ak je vyhľadávanie prázdne, ste v poriadku

Alebo ste?

Šeková kontrola

Som prinajlepšom sieťový diletant, určite nie odborník, takže som plán prešiel okolo Matthew Prince, generálneho riaditeľa CloudFlare. Poukázal na niekoľko nedostatkov v mojej logike. Princ poznamenal, že môj prvý krok pravdepodobne vráti „buď resolver vedený ich poskytovateľom internetových služieb alebo niekým, ako je Google alebo OpenDNS.“ Namiesto toho navrhol, že by sa dalo „zistiť, aká je IP adresa vašej siete, a potom skontrolovať miesto okolo nej“. Pretože myresolver.info vráti aj vašu IP adresu, je to dosť ľahké; mohli by ste skontrolovať oboje.

Cena poukázala na to, že aktívny prekladač DNS používaný na dotazy vo vašej sieti je s najväčšou pravdepodobnosťou správne nakonfigurovaný. „Otvorené prekladače často nie sú to, čo sa používa pre počítače PC, “ povedal, ale pre iné služby… Často sa jedná o zabudnuté inštalácie bežiace na sieti niekde, kde sa veľa nevyužíva. “

Poukázal tiež na to, že projekt Open Resolver obmedzuje počet adries skontrolovaných pri každom dotaze na 256 - to znamená „/ 24“ po IP adrese. Princ poukázal na to, že „ak by sme akceptovali viac, mohli by sme zlým chlapcom dovoliť používať projekt na odhalenie samotných otvorených riešiteľov.“

Ak chcete skontrolovať priestor adries vašej siete, vysvetlite Prince, začnete so skutočnou adresou IP, ktorá má tvar AAA.BBB.CCC.DDD. „Vezmite časť DDD, “ povedal, „a nahraďte ju 0. Potom pridajte koniec / 24.“ Toto je hodnota, ktorú odovzdáte projektu Open Resolver Project.

Pokiaľ ide o môj záver, že prázdne vyhľadávanie znamená, že ste v poriadku, princ varoval, že to nie je úplne pravda. Na jednej strane, ak vaša sieť pokrýva viac ako 256 adries „nemusí skontrolovať celú svoju podnikovú sieť (falošne negatívny)“. Ďalej poznamenal: „Na druhej strane väčšina malých firiem a rezidenčných používateľov má pridelené IP adresy menšie ako 24/24, takže budú efektívne kontrolovať IP, nad ktorými nemajú žiadnu kontrolu.“ Výsledok, ktorý nie je v poriadku, by mohol byť falošne pozitívny.

Princ dospel k záveru, že táto kontrola môže mať nejakú užitočnosť. „Len sa uistite, že dáte všetky potrebné upozornenia, “ povedal, „aby ľudia nezistili falošný pocit bezpečia alebo paniky v súvislosti s otvoreným riešiteľom susedov, nad ktorým nemajú kontrolu.“

Väčší problém

Úplne odlišný názor som získal od Gur Shatza, generálneho riaditeľa spoločnosti Incapsula pre bezpečnosť webových stránok. „Pre dobré aj zlé, “ povedal Shatz, „je ľahké odhaliť otvorené resolvery. Dobrý chlapci ich dokážu zistiť a opraviť; zlí chlapci ich dokážu zistiť a použiť. Adresný priestor IPv4 je veľmi malý, takže je ľahké ho mapovať a skenovať za to."

Shatz nie je optimistický pri riešení problému otvoreného riešenia problémov. „Existujú milióny otvorených rezolúcií, “ poznamenal. „Aká je šanca, že sa všetky vypnú? Bude to pomalý a bolestivý proces.“ A aj keď sa nám to podarí, to nie je koniec. „Existujú aj ďalšie útoky na zosilnenie, “ poznamenal Shatz. „Odraz DNS je najjednoduchší.“

„Vidíme väčšie a väčšie útoky, “ povedal Shatz, „aj bez zosilnenia. Súčasťou problému je, že stále viac používateľov má širokopásmové pripojenie, takže botnety môžu využívať väčšiu šírku pásma.“ Najväčším problémom je však anonymita. Ak hackeri môžu sfalšovať pôvodnú IP adresu, útok sa stane nevysledovateľným. Shatz poznamenal, že jediný spôsob, ako poznáme CyberBunkera ako útočníka v prípade SpamHaus, je to, že zástupca skupiny si nárokoval kredit.

Trinásťročný dokument s názvom BCP 38 jasne uvádza techniku ​​„Porážky útokov na odmietnutie služby, ktoré využívajú podvod s adresou IP Source Spoofing“. Shatz poznamenal, že menší poskytovatelia nemusia vedieť o BCP 38, ale rozšírená implementácia by mohla „obmedziť spoofing na hranách, chlapci rozdávajú IP adresy“.

Problém na vyššej úrovni

Kontrola prekladača DNS vašej spoločnosti pomocou techniky, ktorú som opísal, nemohla ublížiť, ale na skutočné riešenie potrebujete audit sieťového experta, ktorý dokáže porozumieť a implementovať všetky potrebné bezpečnostné opatrenia. Aj keď máte doma sieťového experta, nepredpokladajte, že sa o to už postaral. IT profesionál Trevor Pott v registri priznal, že jeho vlastný prekladač DNS bol použitý pri útoku proti SpamHaus.

Jedna vec je istá; zlí chlapci sa nezastavia len preto, že sme zastavili konkrétny typ útoku. Jednoducho prejdú na inú techniku. Ripovanie masky, aj keď by sa odstránila ich anonymita, by to v skutočnosti mohlo byť dobré.

Ste zombie? ako skontrolovať otvorené dns resolvery