Video: Интервью со звездами ДНС (Marraskuu 2024)
Security Watch -kollegani Fahmida Rashidin kellarissa on DNS-ratkaisija, mutta useimmissa koti- ja pienyritysverkoissa DNS on vain yksi palveluntarjoajan tarjoama palvelu. Todennäköisempi ongelmakohta on yritys, joka on riittävän suuri, jotta sillä olisi oma täydellinen verkkoinfrastruktuuri, mutta ei tarpeeksi iso, jotta hänellä olisi kokopäiväinen verkonvalvoja. Jos työskentelen sellaisessa yrityksessä, haluaisin tarkistaa DNS-ratkaisijani varmistaakseni, että sitä ei voitu ajaa zombi-armeijaksi.
Mikä on DNS?
Internet-yhteysominaisuuksien tarkistaminen tai IPCONFIG / ALL-koodin syöttäminen komentoriviltä ei välttämättä auta tunnistamaan DNS-palvelimen IP-osoitetta. On todennäköistä, että Internet-yhteyden TCP / IP-ominaisuuksissa on asetettu hankkimaan DNS-palvelimen osoite automaattisesti, ja IPCONFIG / ALL näyttää todennäköisesti vain sisäisen NAT-osoitteen, kuten 192.168.1.254.
Pieni haku osoitti kätevän verkkosivuston http://myresolver.info. Kun vierailet tällä sivustolla, se ilmoittaa IP-osoitteesi yhdessä DNS-ratkaisijasi osoitteen kanssa. Aseillaan näillä tiedoilla, keksin suunnitelman:
- Siirry osoitteeseen http://myresolver.info löytääksesi DNS-rekursiivisen ratkaisijasi IP-osoitteen
- Napsauta {?} -Linkkiä IP-osoitteen vieressä saadaksesi lisätietoja
- Tuloksena olevasta taulukosta löydät yhden tai useamman osoitteen otsikon "Ilmoitus" alla, esim. 69.224.0.0/12
- Kopioi ensimmäinen näistä leikepöydälle
- Siirry kohtaan Open Resolver Project http://openresolverproject.org/ ja liitä osoite yläreunassa olevaan hakukenttään.
- Toista kaikki muut osoitteet
- Jos haku tulee tyhjäksi, olet kunnossa
Vai oletko sinä?
Terveellisyystarkistus
Olen parhaimmillaan verkonhaltija, en todellakaan ole asiantuntija, joten juoksin suunnitelmani ohi CloudFlaren toimitusjohtaja Matthew Prince. Hän huomautti muutamista logiikan virheistä. Prince huomautti, että ensimmäinen askel palaa todennäköisesti "joko Internet-palveluntarjoajan tai jonkun, kuten Googlen tai OpenDNS: n, ylläpitämään ratkaisijaan". Hän ehdotti sen sijaan, että joku voisi "selvittää verkon IP-osoitteen ja tarkistaa sen ympärillä olevan tilan". Koska myresolver.info palauttaa myös IP-osoitteesi, se on tarpeeksi helppoa; voit tarkistaa molemmat.
Price huomautti, että verkon kyselyihin käytetty aktiivinen DNS-ratkaisija on todennäköisesti määritetty oikein. "Avoimet ratkaisijat eivät useinkaan ole sitä, mitä käytetään tietokoneissa", hän sanoi, mutta muihin palveluihin… Nämä ovat usein unohdetut asennukset, jotka toimivat verkossa, jota ei käytetä paljon.
Hän huomautti myös, että Open Resolver Project rajoittaa jokaisella kyselyllä tarkistettujen osoitteiden lukumäärän 256: een - sitä tarkoittaa "/ 24" IP-osoitteen jälkeen. Prince huomautti, että "useamman hyväksyminen voi antaa pahojen poikien käyttää hanketta löytääkseen itse avoimia ratkaisijoita".
Prince selitti verkon IP-osoitetilan tarkistamiseksi aloittamalla todellisella IP-osoitteella, jonka muoto on AAA.BBB.CCC.DDD. "Ota DDD-osa", hän sanoi, "ja korvaa se nollalla. Lisää sitten a / 24 loppuun." Tämä on arvo, jonka siirrät Open Resolver -projektille.
Mitä tulee johtopäätökseeni, että tyhjä haku tarkoittaa, että olet kunnossa, Prince varoitti, ettei se ole totta. Toisaalta, jos verkostosi kattaa yli 256 osoitetta, "he eivät ehkä tarkista koko yritysverkkoaan (väärä negatiivinen)." Hän jatkoi: "Toisaalta useimmilla pienyrityksillä ja kotikäyttäjillä on tosiasiallisesti IP / IP-allokaatio, joka on pienempi kuin / 24, joten he tarkistavat käytännössä IP-osoitteet, joita heillä ei ole minkäänlaista hallintaa." Ei-OK-tulos voi siis olla väärä positiivinen.
Prince päätteli, että tällä tarkistuksella voi olla hyödyllisyyttä. "Varmista vain, että annat kaikki asianmukaiset huomautukset", hän sanoi, "jotta ihmiset eivät saa väärää turvatuntoa tai paniikkia naapurinsa avoimelle ratkaisijalle, jota heillä ei ole hallussaan."
Suurempi ongelma
Sain melko toisenlaisen kuvan Incapsulan verkkosivustojen turvallisuusyrityksen toimitusjohtajalta Gur Shatzilta. "Sekä hyville että pahoille", sanoi Shatz, "avoimien ratkaisijoiden tunnistaminen on helppoa. Hyvät kaverit voivat havaita ja korjata ne; pahat pojat voivat havaita ja käyttää niitä. IPv4-osoitetila on hyvin pieni, joten se on helppo kartoittaa ja skannata. se."
Shatz ei ole optimistinen avoimen ratkaisu-ongelman ratkaisemisessa. "Avoimia ratkaisijoita on miljoonia", hän totesi. "Mitkä ovat mahdollisuudet saada ne kaikki sammumaan? Se on hidas ja tuskallinen prosessi." Ja vaikka onnistummekin, se ei ole loppu. "Muita vahvistushyökkäyksiä on olemassa", totesi Shatz. "DNS-heijastus on vain helpoin."
"Näemme suurempia hyökkäyksiä", sanoi Shatz, "jopa ilman vahvistusta. Osa ongelmasta on se, että yhä useammilla käyttäjillä on laajakaista, joten bottiverkot voivat käyttää enemmän kaistanleveyttä." Mutta suurin ongelma on nimettömyys. Jos hakkerit voivat huijata alkuperäistä IP-osoitetta, hyökkäyksestä tulee jäljitettämätön. Shatz totesi, että ainoa tapa, jolla tunnemme CyberBunkerin hyökkääjänä SpamHaus-tapauksessa, on, että ryhmän edustaja vaati luottoa.
Kolmetoista vuotta vanha asiakirja, nimeltään BCP 38, selventää selkeästi tekniikkaa "Palvelunestohyökkäysten tappaminen, jotka käyttävät IP-lähdeosoitteen huijaamista". Shatz huomautti, että pienemmät palveluntarjoajat eivät ehkä tiedä BCP 38: ta, mutta laajamittainen käyttöönotto voi "sulkea huijauksen reunoilla, kaverit tosiasiallisesti antavat IP-osoitteita".
Korkeamman tason ongelma
Yrityksen DNS-ratkaisun tarkistaminen kuvaamallasi tekniikalla ei loukannut, mutta todellisen ratkaisun saavuttamiseksi tarvitaan verkon asiantuntijan suorittama tarkastus, joka joku ymmärtää ja toteuttaa tarvittavat suojaustoimenpiteet. Jos sinulla on verkon asiantuntija talossa, älä luule, että hän on jo huolehtinut tästä. IT-ammattilainen Trevor Pott tunnusti rekisterissä, että omaa DNS-ratkaisua oli käytetty hyökkäyksessä SpamHausia vastaan.
Yksi asia on varma; pahat pojat eivät lopeta vain siksi, että suljemme tietyn tyyppiset hyökkäykset. He vain vaihtavat toiseen tekniikkaan. Maskin repiminen, vaikka se poistaisi heidän nimettömänsä, saattaisi tosiaan tehdä hyvää.