Acasă Securitywatch Ești un zombie? cum să verificați rezolvările dns deschise

Ești un zombie? cum să verificați rezolvările dns deschise

Video: Camera Upload for OneDrive for Business has launched (Noiembrie 2024)

Video: Camera Upload for OneDrive for Business has launched (Noiembrie 2024)
Anonim

Recentul atac distribuit de Denial of Service împotriva grupului internațional de combatere a spamului SpamHaus a folosit o tehnică numită reflecție DNS pentru a genera cantități uriașe de trafic pentru SpamHaus, supraîncărcând serverele lor. Această tehnică se bazează pe utilizarea a mii de servere DNS configurate necorespunzător pentru a amplifica atacul DDoS, în acest caz cu un factor de câteva sute. Sunt destule de găsit; Proiectul Open DNS Resolver a identificat peste 25 de milioane de astfel de servere. Este al tău (sau al companiei tale) unul dintre ei?

Colega mea de securitate Fahmida Rashid are un rezoluție DNS în subsol, dar pentru majoritatea rețelelor de acasă și de afaceri mici, DNS este doar un alt serviciu furnizat de ISP. Un loc mai probabil pentru probleme este o afacere suficient de mare pentru a avea propria infrastructură de rețea completă, dar nu suficient de mare pentru a avea un administrator de rețea cu normă întreagă. Dacă aș lucra într-o astfel de companie, aș dori să-mi verific rezolvarea DNS pentru a mă asigura că nu poate fi reîncripționat într-o armată zombie.

Care este DNS-ul meu?

Verificarea proprietăților conexiunii dvs. la Internet sau introducerea IPCONFIG / ALL la un prompt de comandă nu vă va ajuta în mod necesar să identificați adresa IP a serverului dvs. DNS. Șansele sunt bune că în proprietățile TCP / IP ale conexiunii la Internet este setat să obțină automat o adresă de server DNS, iar IPCONFIG / ALL va afișa probabil o adresă NAT numai internă precum 192.168.1.254.

Puțină căutare a apărut site-ul util http://myresolver.info. Când vizitați acest site, acesta vă raportează adresa IP împreună cu adresa rezolvatorului dvs. DNS. Înarmați cu aceste informații, am venit cu un plan:

  • Accesați http://myresolver.info pentru a găsi adresa IP a rezolvatorului recursiv DNS
  • Faceți clic pe linkul {?} De lângă adresa IP pentru mai multe informații
  • În graficul rezultat veți găsi una sau mai multe adrese la rubrica "Anunț", de exemplu, 69.224.0.0/12
  • Copiați primul dintre acestea în clipboard
  • Navigați la Open Resolver Project http://openresolverproject.org/ și lipiți adresa în caseta de căutare din partea de sus.
  • Repetați pentru orice adrese suplimentare
  • Dacă căutarea apare goală, ești OK

Sau esti?

Control mintal

Sunt cel mai bine un diletant al rețelei, cu siguranță nu este un expert, așa că mi-am condus planul în urma lui Matthew Prince, CEO al CloudFlare. El a subliniat câteva defecte în logica mea. Prince a menționat că primul meu pas se va întoarce "fie rezolvarea administrată de ISP-ul lor, fie de cineva ca Google sau OpenDNS". El a sugerat în schimb că cineva ar putea „să-și dea seama care este adresa IP a rețelei dvs. și apoi să verificați spațiul din jurul acesteia”. Deoarece myresolver.info vă întoarce și adresa IP, este destul de ușor; ai putea verifica ambele.

Price a subliniat că rezolvarea DNS activă folosită pentru interogări în rețeaua dvs. este cel mai probabil configurată corect. "Rezolvările deschise nu sunt adesea cele utilizate pentru PC-uri", a spus el, ci pentru alte servicii… Acestea sunt adesea uitate de instalările care rulează pe o rețea undeva nu sunt folosite de mult.

El a subliniat, de asemenea, că proiectul Open Resolver limitează numărul de adrese verificate cu fiecare interogare la 256 - asta înseamnă „/ 24” după adresa IP. Prince a subliniat că „acceptarea mai mult ar putea permite băieților răi să folosească Proiectul pentru a descoperi singuri rezolvatorii deschiși”.

Pentru a verifica spațiul de adrese IP al rețelei dvs., a explicat Prince, începeți cu adresa dvs. IP reală, care are formularul AAA.BBB.CCC.DDD. „Luați partea DDD”, a spus el, „și înlocuiți-o cu un 0. Apoi adăugați un / 24 la capăt”. Aceasta este valoarea pe care o veți transmite proiectului Open Resolver.

În ceea ce privește concluzia mea, că o căutare goală înseamnă că ești OK, Prince a avertizat că nu este chiar adevărat. Pe de o parte, dacă rețeaua dvs. se întinde pe mai mult de 256 de adrese "este posibil să nu verifice întreaga rețea corporativă (un fals negativ)." El a continuat să noteze: „Pe de altă parte, majoritatea întreprinderilor mici și a utilizatorilor rezidențiali au de fapt o alocare de IP-uri mai mici decât un / 24, astfel că vor efectua verificarea IP-urilor asupra cărora nu au niciun control”. Un rezultat neadecvat, atunci, ar putea fi un fals pozitiv.

Prince a concluzionat că acest control ar putea avea o anumită utilitate. "Doar asigurați-vă că dați toate avertismentele adecvate", a spus el, "astfel încât oamenii să nu obțină un fals sentiment de securitate sau să se panicheze cu privire la rezolvarea deschisă a vecinului lor asupra căreia nu au niciun control".

O problemă mai mare

Am o perspectivă destul de diferită de Gur Shatz, CEO al companiei de securitate a site-urilor Incapsula. "Atât pentru buni cât și pentru răi", a spus Shatz, "este ușor să detectați rezolvatorii deschiși. Băieții buni îi pot detecta și repara; băieții răi îi pot detecta și folosi. Spațiul de adrese IPv4 este foarte mic, deci este ușor de mapat și de scanat aceasta."

Shatz nu este optimist cu privire la rezolvarea problemei rezolvării deschise. "Există milioane de rezolvători deschiși", a menționat el. "Care sunt șansele de a le închide pe toate ? Va fi un proces lent și dureros." Și chiar dacă reușim, acesta nu este sfârșitul. „Există și alte atacuri de amplificare”, a remarcat Shatz. „Reflexia DNS este doar cea mai ușoară”.

"Vom observa atacuri mai mari și mai mari", a spus Shatz, "chiar și fără amplificare. O parte din problemă este că tot mai mulți utilizatori au bandă largă, astfel încât botnetele pot utiliza mai multă lățime de bandă". Dar cea mai mare problemă este anonimatul. Dacă hackerii pot strica adresa IP de origine, atacul devine de neatins. Shatz a menționat că singurul mod în care îl cunoaștem pe CyberBunker ca atacator în cazul SpamHaus este acela că un reprezentant al grupului a revendicat creditul.

Un document vechi de treisprezece ani, numit BCP 38, descrie clar o tehnică pentru „Înfrângerea atacurilor de refuz de serviciu care folosesc Spoofing IP Address Address”. Shatz a menționat că furnizorii mai mici pot să nu cunoască BCP 38, însă o implementare pe scară largă ar putea „închide răspândirea la margini, tipii dând de fapt adrese IP”.

O problemă de nivel superior

Verificarea rezolvării DNS a companiei dvs. folosind tehnica descrisă nu a putut răni, dar pentru o soluție reală aveți nevoie de un audit de către un expert în rețea, de cineva care poate înțelege și implementa orice măsuri de securitate necesare. Chiar dacă aveți un expert în rețea în casă, nu presupune că a avut deja grijă de asta. Profesionistul IT Trevor Pott a mărturisit în Registru că rezolvarea DNS a fost folosită în atacul împotriva SpamHaus.

Un lucru este sigur; cei răi nu se vor opri doar pentru că oprim un anumit tip de atac. Vor trece la o altă tehnică. Înlăturarea măștii, totuși, îndepărtându-și anonimatul, s-ar putea ca de fapt să se facă bine.

Ești un zombie? cum să verificați rezolvările dns deschise