Video: Denial of Service Attacks (Part 1): Open DNS Resolvers (Nobyembre 2024)
Ang aking kasamahan sa Security Watch na si Fahmida Rashid ay may resolusyon sa DNS sa kanyang basement, ngunit para sa karamihan sa mga network ng bahay at maliit na negosyo ang DNS ay isa pang serbisyo na ibinigay ng ISP. Ang isang mas malamang na lugar para sa mga problema ay isang sapat na negosyo na sapat upang magkaroon ng sariling kumpletong imprastraktura ng network ngunit hindi sapat na malaki upang magkaroon ng isang buong tagapangasiwa ng network. Kung nagtrabaho ako sa naturang kumpanya, nais kong suriin ang aking resolusyon ng DNS upang matiyak na hindi ito maipalagay sa isang hukbo na sombi.
Ano ang aking DNS?
Ang pagsuri sa iyong mga katangian ng koneksyon sa Internet o pagpasok ng IPCONFIG / LAHAT sa isang Command Prompt ay hindi kinakailangang makakatulong sa iyo na makilala ang IP address ng iyong DNS server. Mabuti ang posibilidad na sa mga katangian ng TCP / IP na koneksyon sa Internet na nakatakda upang makakuha ng isang awtomatikong address ng DNS server, at ang IPCONFIG / LAHAT ay marahil magpapakita ng isang panloob-tanging Nat address tulad ng 192.168.1.254.
Ang isang maliit na paghahanap ay nakabukas ang madaling gamiting website http://myresolver.info. Kapag binisita mo ang site na ito, iniuulat nito ang iyong IP address kasama ang address ng iyong DNS resolver. Gamit ang impormasyong ito, may plano ako:
- Pumunta sa http://myresolver.info upang hanapin ang IP address ng iyong DNS recursive resolver
- I-click ang link na {?} Sa tabi ng IP address para sa karagdagang impormasyon
- Sa nagresultang tsart makikita mo ang isa o higit pang mga address sa ilalim ng heading na "Announcement", hal. 69.224.0.0/12
- Kopyahin ang una sa mga ito sa clipboard
- Mag-navigate sa Open Resolver Project http://openresolverproject.org/ at i-paste ang address sa kahon ng paghahanap na malapit sa tuktok.
- Ulitin para sa anumang mga karagdagang address
- Kung walang paghahanap ang paghahanap, OK ka lang
O ikaw?
Sanity Check
Ako ay isang network dilettante nang pinakamagaling, tiyak na hindi isang dalubhasa, kaya pinatakbo ko ang aking plano sa nakaraang Matthew Prince, CEO ng CloudFlare. Tinuro niya ang ilang mga kapintasan sa aking lohika. Nabanggit ni Prince na ang aking unang hakbang ay malamang na babalik "alinman sa resolver na pinapatakbo ng kanilang ISP o isang tulad ng Google o OpenDNS." Iminungkahi niya sa halip na ang isa ay maaaring "malaman kung ano ang IP address ng iyong network at pagkatapos ay suriin ang puwang sa paligid." Dahil ang myresolver.info ay nagbabalik din sa iyong IP address, madali iyon; maaari mong suriin ang pareho.
Ang presyo ay itinuro na ang aktibong DNS resolver na ginagamit para sa mga query sa iyong network ay malamang na na-configure nang tama. "Ang mga bukas na resolusyon ay madalas na hindi ginagamit para sa mga PC, " aniya, ngunit para sa iba pang mga serbisyo … Kadalasan nakalimutan ang mga pag-install na tumatakbo sa isang network sa isang lugar na hindi ginagamit ng marami. "
Tinukoy din niya na ang Open Resolver Project ay nililimitahan ang bilang ng mga address na sinuri sa bawat query sa 256 - iyon ang ibig sabihin ng "/ 24" matapos ang ibig sabihin ng IP address. Itinuro ni Prince na "ang pagtanggap ng higit pa ay magpapahintulot sa mga masasamang tao na gumamit ng Project upang matuklasan ang mga bukas na resolusyon sa kanilang sarili."
Upang suriin ang puwang ng IP address ng iyong network, ipinaliwanag ng Prinsipe, magsisimula ka sa iyong aktwal na IP address, na mayroong form na AAA.BBB.CCC.DDD. "Kunin ang bahaging DDD, " aniya, "at palitan ito ng isang 0. Pagkatapos ay magdagdag ng isang / 24 sa dulo." Ito ang halaga na ipapasa mo sa Open Resolver Project.
Tungkol sa aking konklusyon, na ang isang walang laman na paghahanap ay nangangahulugang OK ka, binalaan ni Prince na hindi ito totoo. Sa isang banda, kung ang iyong network ay sumasaklaw sa higit sa 256 address "maaaring hindi nila suriin ang kanilang buong network ng korporasyon (isang maling negatibo)." Nagpansin siya, "Sa kabilang banda, ang karamihan sa mga maliliit na negosyo at mga gumagamit ng tirahan ay talagang mayroong isang paglalaan ng mga IP na mas maliit kaysa sa isang 24/24, kaya't mabisang suriin nila ang mga IP na hindi nila kontrolin." Kung gayon, ang isang di-OK na resulta, ay maaaring maging isang maling positibo.
Napagpasyahan ni Prince na ang tseke na ito ay maaaring may kapaki-pakinabang. "Siguraduhing ibigay mo ang lahat ng naaangkop na mga caveats, " aniya, "kaya ang mga tao ay hindi nakakakuha ng maling kahulugan ng seguridad o gulat tungkol sa bukas na resolusyon ng kanilang kapwa na wala silang kontrol."
Isang Malaking Suliranin
Nakakuha ako ng ibang kakaibang pananaw mula kay Gur Shatz, CEO ng kumpanya ng seguridad ng website na Incapsula. "Para sa parehong mabuti at masama, " sabi ni Shatz, "madaling makita ang mga bukas na resolusyon. Ang mga mabubuting tao ay maaaring makakita at ayusin ang mga ito; ang mga masasamang tao ay maaaring makita at magamit ang mga ito. Ang puwang ng address ng IPv4 ay napakaliit, kaya't madaling mag-mapa at mag-scan ito. "
Hindi maaasahan si Shatz tungkol sa paglutas ng problema sa bukas na resolver. "Mayroong milyon-milyong mga bukas na resolusyon, " sabi niya. "Ano ang mga posibilidad na ma-shut down ang lahat ? Ito ay magiging isang mabagal at masakit na proseso." At kahit na magtagumpay tayo, hindi iyon ang wakas. "Ang iba pang mga pag-atake ng pagpapalakas ay umiiral, " sabi ni Shatz. "Ang pagmuni-muni ng DNS lamang ang pinakamadali."
"Nakakakita kami ng mas malaki at mas malaking pag-atake, " sabi ni Shatz, "kahit na walang pagpapalakas. Bahagi ng problema ay mas maraming mga gumagamit ang may broadband, kaya ang mga botnets ay maaaring gumamit ng mas maraming bandwidth." Ngunit ang pinakamalaking problema ay ang hindi pagkakilala. Kung maaaring masamsam ng mga hacker ang pinagmulan ng IP address, ang pag-atake ay magiging hindi maaasahan. Nabanggit ni Shatz na ang tanging paraan na kilala natin ang CyberBunker bilang ang umaatake sa kaso ng SpamHaus ay ang isang kinatawan ng grupo na inaangkin na kredito.
Ang isang labing-tatlong taong gulang na dokumento na tinawag na BCP 38 ay malinaw na nagbaybay ng isang pamamaraan para sa "Pagwawalang Pagwaksi sa Pag-atake ng Serbisyo na gumagamit ng IP Source Address Spoofing." Nabanggit ni Shatz na ang mas maliit na mga tagabigay ng serbisyo ay maaaring walang kamalayan sa BCP 38, ngunit ang malawakang pagpapatupad ay maaaring "isara ang mga spoofing sa mga gilid, ang mga lalaki ay talagang nagbibigay ng mga IP address."
Isang Problema sa Mataas na Antas
Ang pagsuri sa resolusyon ng DNS ng iyong kumpanya gamit ang pamamaraan na inilarawan ko ay hindi maaaring saktan, ngunit para sa isang tunay na solusyon na kailangan mo ng isang pag-audit ng isang dalubhasa sa network, isang taong maaaring maunawaan at ipatupad ang anumang kinakailangang mga hakbang sa seguridad. Kahit na mayroon kang isang dalubhasa sa network sa bahay, huwag ipagpalagay na siya na ang bahala dito. Kinumpirma ng IT Professional Trevor Pott sa The Register na ang kanyang sariling resolver ng DNS ay ginamit sa pag-atake laban sa SpamHaus.
Isang bagay ang tiyak; ang mga masasamang tao ay hindi hihinto dahil lamang isinasara namin ang isang partikular na uri ng pag-atake. Lilipat lang sila sa ibang pamamaraan. Gayunman, ang pagtatakip ng maskara, gayunpaman, inaalis ang kanilang hindi nagpapakilala, na maaaring talagang gumawa ng mabuti.
