Videó: DNS - один из лидеров рынка по продаже цифровой и бытовой техники (November 2024)
A Security Watch kollégám, Fahmida Rashid egy DNS-feloldóval rendelkezik az alagsorában, de a legtöbb otthoni és kisvállalati hálózat számára a DNS csak egy, az internetszolgáltató által nyújtott szolgáltatás. A problémák valószínűbb helye egy olyan vállalkozás, amely elég nagy ahhoz, hogy saját teljes hálózati infrastruktúrával rendelkezzen, de nem elég nagy, hogy teljes munkaidős hálózati rendszergazdával rendelkezzen. Ha ilyen társaságban dolgoznék, ellenőrizni szeretném a DNS-feloldómat, hogy meggyőződhessek arról, hogy nem lehet-e zombik hadseregbe bevonni.
Mi a DNS?
Az internetkapcsolat tulajdonságainak ellenőrzése vagy az IPCONFIG / ALL parancssorba történő beírása nem feltétlenül segít azonosítani a DNS-kiszolgáló IP-címét. Jó esély van arra, hogy az internetkapcsolat TCP / IP tulajdonságainál úgy van beállítva, hogy automatikusan megkapja a DNS szerver címet, és az IPCONFIG / ALL valószínűleg csak egy belső NAT címet fog megjeleníteni, például 192.168.1.254.
Egy kis keresés megmutatta a hasznos weboldalt: http://myresolver.info. Amikor ellátogat erre a webhelyre, jelentést tesz az IP-címéről és a DNS-feloldójának címéről. Felfegyverkezve ezzel az információval, én kidolgoztam egy tervet:
- Nyissa meg a http://myresolver.info oldalt a DNS-rekurzív megoldójának IP-címéről
- További információkért kattintson az IP-cím melletti {?} Linkre
- A kapott táblázatban egy vagy több címet talál a "Bejelentés" cím alatt, pl. 69.224.0.0/12
- Másolja az első ezeket a vágólapra
- Keresse meg az Open Resolver Project http://openresolverproject.org/ webhelyet, és illessze be a címet a tetején található keresőmezőbe.
- Ismételje meg a további címeket
- Ha a keresés üres, akkor rendben van
Vagy te?
Józanság ellenőrzés
Legjobb esetben hálózati diletantus vagyok, természetesen nem szakértő, tehát Matthew Princenél, a CloudFlare vezérigazgatójánál haladtam el. Rámutatott néhány hibára a logikámban. Prince megjegyezte, hogy az első lépésem valószínűleg visszatér "vagy az internetszolgáltató által üzemeltetett megoldóhoz, vagy valakihez, például a Google vagy az OpenDNS-hez". Ehelyett azt javasolta, hogy "kiderítse, mi a hálózat IP-címe, majd ellenőrizze az azt körülvevő helyet". Mivel a myresolver.info az Ön IP-címét is visszatér, ez elég egyszerű; mindkettőt ellenőrizheted.
Price rámutatott, hogy a hálózaton lekérdezésekhez használt aktív DNS-feloldó valószínűleg helyesen van konfigurálva. "A nyílt megoldókat gyakran nem a számítógépekhez használják" - mondta, de más szolgáltatásokhoz is. Ezek gyakran elfeledett telepítések, amelyek valamelyik hálózaton futnak, ahol sokat nem használnak."
Arra is rámutatott, hogy az Open Resolver Project az egyes lekérdezésekkel ellenőrzött címek számát 256-ra korlátozza - ez az, amit az "IP" után a "24" jelent. Prince rámutatott, hogy "több elfogadása megengedheti a rossz fiúknak, hogy felhasználják a projektet, hogy maguk is felfedezzék a nyitott megoldókat".
A Prince IP-címének a hálózatának IP-címtérének ellenőrzéséhez a tényleges IP-címével kell kezdenie, amelynek AAA.BBB.CCC.DDD formája van. "Vegye ki a DDD részt" - mondta -, és cserélje le egyre 0-t. Ezután adjon hozzá egy / 24 értéket a végéhez. " Ez az érték átadódik az Open Resolver Project-nek.
Ami azt a következtetést illeti, hogy egy üres keresés azt jelenti, hogy minden rendben van, Prince figyelmeztette, hogy ez nem egészen igaz. Egyrészt, ha a hálózat 256-nál több címet érint, "előfordulhat, hogy nem ellenőrzik a teljes vállalati hálózatot (hamis negatív)". Ezt folytatta: "Másrészt a legtöbb kisvállalkozás és lakossági felhasználó IP-k allokációja ténylegesen kisebb, mint a / 24, tehát ténylegesen ellenőrizni fogják azokat az IP-ket, amelyek felett nincs befolyásuk." A nem megfelelő eredmény akkor hamis pozitív lehet.
Prince arra a következtetésre jutott, hogy ennek az ellenőrzésnek hasznos lehet. "Csak győződjön meg róla, hogy megadja az összes megfelelő figyelmeztetést" - mondta. - Annak érdekében, hogy az emberek ne kapjanak hamis biztonsági érzést vagy pánikot a szomszédaik nyitott megoldója iránt, amely felett nincs befolyásuk."
Nagyobb probléma
Gur Shatz-tól, az Incapsula weboldal-biztonsági cég vezérigazgatójától meglehetősen eltérő véleményt kaptam. "Mind a jó, mind a rossz szempontból - mondta Shatz -, könnyű felismerni a nyitott felbontókat. A jó fiúk észlelhetik és kijavíthatják őket; a rossz fiúk észlelhetik és felhasználhatják őket. Az IPv4 címtér nagyon kicsi, így könnyen térképezhető és szkennelhető. azt."
Shatz nem optimista a nyitott megoldó probléma megoldására. "Több millió nyitott megoldó van" - jegyezte meg. "Milyen esélyek vannak arra, hogy leállítsák őket? Ez egy lassú és fájdalmas folyamat lesz." És még ha sikerrel is járunk, ez még nem ért véget. "Egyéb amplifikációs támadások léteznek" - jegyezte meg Shatz. "A DNS reflexió csak a legegyszerűbb."
"Nagyobb és nagyobb támadásokat látunk - mondta Shatz -, még erősítés nélkül. A probléma része az, hogy egyre több felhasználó rendelkezik szélessávú internettel, így a botnetek nagyobb sávszélességet tudnak használni." De a legnagyobb probléma az anonimitás. Ha a hackerek megtévesztik a származási IP-címet, a támadás nyomon követhetetlenné válik. Shatz megjegyezte, hogy a SpamHaus ügyben a CyberBunkert támadóként csak úgy tudjuk, hogy a csoport képviselője követelést igényelt.
A tizenhárom éves BCP 38 nevű dokumentum egyértelműen kifejti a „Szolgáltatásmegtagadás legyőzése, amely IP-címet hamisít” alkalmazását. Shatz megjegyezte, hogy a kisebb szolgáltatók nincsenek tudatában a BCP 38-nak, ám a széles körű megvalósítás „bezárhatja a hamisítást a széleken, a srácok valójában IP címeket adnak ki”.
Magasabb szintű probléma
A vállalat DNS-feloldójának ellenőrzése a leírt módszerrel nem sértette meg, de valódi megoldáshoz hálózati szakértő által végzett ellenőrzésre van szükség, aki megérti és végrehajtja a szükséges biztonsági intézkedéseket. Ha még van hálózati szakértője a házban, ne gondold, hogy ő már gondoskodott erről. Trevor Pott, az IT szakember a nyilvántartásban bevallotta, hogy saját DNS-feloldóját használta a SpamHaus elleni támadásban.
Egy dolog biztos; a rossz fiúk nem állnak le csak azért, mert egy bizonyos támadást leállítunk. Csak átváltanak egy másik technikára. A maszk letépése, anonimitásuk eltávolításával azonban valójában jó lehet.
