Зомби ли си? как да проверите за открити dns резолюции

Неотдавнашната атака за разпространение на отказано обслужване срещу международната група за борба със спама SpamHaus използва техника, наречена DNS отражение, за да генерира огромни количества трафик за SpamHaus, претоварвайки техните сървъри. Тази техника разчита на използването на хиляди неправилно конфигурирани DNS сървъри за усилване на DDoS атаката, в случая с фактор от няколкостотин. Има много за намиране; Open DNS Resolver Project е идентифицирал над 25 милиона такива сървъра. Вашата (или вашата компания) ли е една от тях?

Колегата на My Security Watch Фахмида Рашид има DNS резолюция в мазето си, но за повечето домашни и малки бизнес мрежи DNS е просто друга услуга, предоставяна от интернет доставчика. По-вероятно място за проблеми е бизнесът достатъчно голям, за да има собствена цялостна мрежова инфраструктура, но не достатъчно голям, за да има пълен работен ден мрежов администратор. Ако работех в такава компания, бих искал да проверя DNS резолюцията си, за да се уверя, че не може да бъде включен в зомби армия.

Какво ми е DNS?

Проверката на вашите свойства за интернет връзка или въвеждането на IPCONFIG / ALL в командния ред не е задължително да ви помогне да идентифицирате IP адреса на вашия DNS сървър. Шансовете са добри, че в TCP / IP свойствата на интернет връзката е зададено автоматично да получава адрес на DNS сървър и IPCONFIG / ALL вероятно ще покаже NAT само вътрешен NAT адрес като 192.168.1.254.

Малко търсене намери удобния уебсайт http://myresolver.info. Когато посетите този сайт, той отчита вашия IP адрес, заедно с адреса на вашия DNS резолютор. Въоръжен с тази информация, създадох план:

• Отидете на http://myresolver.info, за да намерите IP адреса на вашия DNS рекурсивен разделител
• Кликнете върху връзката {?} До IP адреса за повече информация
• В получената диаграма ще намерите един или повече адреси под заглавието "Обявление", напр. 69.224.0.0/12
• Копирайте първия от тях в клипборда
• Отидете до Open Resolver Project http://openresolverproject.org/ и поставете адреса в полето за търсене в горната част.
• Повторете за всички допълнителни адреси
• Ако търсенето се появи празно, вие сте наред

Или си?

Проверка на здравина

Аз съм мрежова дилетантка в най-добрия случай, със сигурност не съм експерт, така че изпълних плана си покрай Матю Принс, изпълнителен директор на CloudFlare. Той посочи няколко недостатъка в моята логика. Принц отбеляза, че първата ми стъпка вероятно ще се върне „или резолюцията, управлявана от техния интернет доставчик, или някой като Google или OpenDNS“. Той предложи вместо това човек да „разбере какъв е IP адресът на вашата мрежа и след това да провери пространството около това“. Тъй като myresolver.info също връща вашия IP адрес, това е достатъчно лесно; бихте могли да проверите и двете.

Прайс посочи, че активният DNS разделител, използван за заявки във вашата мрежа, най-вероятно е конфигуриран правилно. "Отворените разделители често не са това, което се използва за персонални компютри", каза той, но за други услуги… Това често са забравени инсталации, работещи в мрежа, където някъде не се използват много."

Той също така посочи, че проектът Open Resolver ограничава броя на проверените адреси с всяка заявка до 256 - това означава "/ 24" след IP адреса. Принц изтъкна, че „приемането на повече може да позволи на лошите да използват проекта, за да открият сами откритите разрешители“.

За да проверите IP адресното пространство на вашата мрежа, обясни Prince, започвате с действителния си IP адрес, който има формата AAA.BBB.CCC.DDD. "Вземете DDD частта", каза той, "и я заменете с 0. След това добавете a / 24 към края." Това е стойността, която ще предадете на Open Resolver Project.

Що се отнася до моето заключение, че празно търсене означава, че сте наред, принц предупреди, че не е съвсем вярно. От една страна, ако мрежата ви обхваща повече от 256 адреса, „може да не се проверява цялата им корпоративна мрежа (фалшив отрицателен)“. Той продължи да отбелязва: „От друга страна, повечето малки фирми и жилищни потребители всъщност имат разпределение на IP адреси, които са по-малки от / 24, така че те ефективно ще проверяват IP адреси, над които нямат контрол“. Резултатът, който не е наред, може да бъде фалшив положителен.

Принц заключи, че тази проверка може да има някаква полезност. "Просто се уверете, че давате всички подходящи предупреждения", каза той, "така че хората да не получават фалшиво чувство за сигурност или да изпадат в паника за открития резолюция на съседа си, над който нямат контрол."

По-голям проблем

Имам доста различна гледна точка от Гур Шац, изпълнителен директор на компанията за сигурност на уебсайтове Incapsula. "И за доброто и за лошото", казва Шац, "е лесно да се открият отворени разделители. Добрите момчета могат да ги открият и поправят; лошите могат да ги открият и използват. Адресното пространство на IPv4 е много малко, така че е лесно да се картографират и сканират то."

Шац не е оптимист за решаването на проблема с отворената резолюция. "Има милиони отворени резолюции", отбеляза той. "Какви са шансовете всички да бъдат затворени? Това ще бъде бавен и болезнен процес." И дори да успеем, това не е краят. "Други атаки за усилване съществуват", отбелязва Шац. „DNS отражението е просто най-лесното.“

"Виждаме все по-големи и по-големи атаки, " каза Шац, "дори и без усилване. Част от проблема е, че все повече и повече потребители имат широколентова връзка, така че ботнетите могат да използват повече честотна лента." Но най-големият проблем е анонимността. Ако хакерите могат да излъжат първоначалния IP адрес, атаката става непроследима. Шац отбеляза, че единственият начин, по който познаваме CyberBunker като нападател в случая със SpamHaus, е, че представител на групата е поискал кредит.

В тринадесет годишен документ, наречен BCP 38, ясно е описана техника за „Побеждаване на атаки за отказ на услуга, които използват подправяне на адрес на IP източник“. Шац отбеляза, че по-малките доставчици може да не знаят за BCP 38, но все пак широкото им прилагане може да „затвори измама в краищата, а момчетата всъщност дават IP адреси“.

Проблем от по-високо ниво

Проверката на DNS резолюцията на вашата компания с помощта на описаната от мен техника не може да навреди, но за истинско решение се нуждаете от одит от мрежов експерт, някой, който може да разбере и приложи всички необходими мерки за сигурност. Ако имате мрежов експерт, не предполагайте, че вече се е погрижил за това. Професионалистът по информационни технологии Тревър Пот призна в The Register, че неговата собствена DNS резолюция е била използвана при атаката срещу SpamHaus.

Едно е сигурно; лошите няма да спрат само защото изключваме определен тип атака. Те просто ще преминат към друга техника. Махнете маската, отнемайки анонимността им, това всъщност може да донесе добро.