Video: SMASHY CITY CURES BAD HAIR DAY (Oktober 2024)
Kolegica mojega varnostnega nadzornika Fahmida Rashid ima v svoji kleti ločljivost DNS, vendar je za večino domačih in majhnih poslovnih omrežij DNS le še ena storitev, ki jo ponuja ponudnik internetnih storitev. Verjetnejša težava je podjetje, ki je dovolj veliko, da ima lastno celovito omrežno infrastrukturo, vendar ne dovolj veliko, da bi imel skrbnika omrežja s polnim delovnim časom. Če bi delal v takšnem podjetju, bi želel preveriti svoj DNS razreševalnik in se prepričati, da ga ni mogoče vpovedati v zombi vojsko.
Kaj je moj DNS?
Preverjanje lastnosti internetne povezave ali vnos IPCONFIG / ALL v ukazni poziv ne bo nujno pomagal prepoznati naslova IP vašega strežnika DNS. Možne so možnosti, da je v lastnostih TCP / IP internetne povezave nastavljeno, da samodejno pridobi naslov strežnika DNS, IPCONFIG / ALL pa bo verjetno prikazal NAT samo notranji naslov, kot je 192.168.1.254.
Pri iskanju priročnega spletnega mesta http://myresolver.info je prišlo malo iskanja. Ko obiščete to spletno mesto, poroča vaš IP naslov skupaj z naslovom vašega razreševalnika DNS. Oborožen s temi informacijami sem zasnoval načrt:
- Pojdite na http://myresolver.info in poiščite naslov IP rekurzivnega ločevalnika DNS
- Kliknite povezavo {?} Poleg naslova IP za več informacij
- V dobljeni tabeli najdete enega ali več naslovov pod naslovom "Objava", npr. 69.224.0.0/12
- Kopirajte prvo odložišče v odložišče
- Pojdite na http://openresolverproject.org/ Open Resolver Project in naslov prilepite v iskalno polje na vrhu.
- Ponovite za vse dodatne naslove
- Če se iskanje pojavi prazno, ste v redu
Ali pa si?
Sanity Check
Sem v najboljšem primeru mrežna diletantka, zagotovo nisem strokovnjak, zato sem svoj načrt vodila mimo Matthewa Princea, izvršnega direktorja CloudFlare. Izpostavil je nekaj napak v moji logiki. Prince je opozoril, da se bo moj prvi korak verjetno vrnil "bodisi reševalec, ki ga vodi njihov ponudnik internetnih storitev, bodisi nekdo, kot sta Google ali OpenDNS." Namesto tega je predlagal, da bi lahko "ugotovili, kakšen je IP naslov vašega omrežja in nato preveril prostor okoli tega." Ker myresolver.info vrne tudi vaš IP naslov, je to dovolj enostavno; lahko preverite oboje.
Price je poudaril, da je aktivni odzivnik DNS, ki se uporablja za poizvedbe v vašem omrežju, najverjetneje pravilno konfiguriran. "Odprti razreševalci pogosto niso tisto, kar se uporablja za osebne računalnike, " je dejal, toda za druge storitve… To so pogosto pozabljene namestitve, ki se izvajajo v omrežju, kjer se nekje ne uporabljajo veliko."
Izpostavil je tudi, da Open Resolver Project omejuje število naslovov, preverjenih z vsako poizvedbo, na 256 - to pomeni "/ 24" po naslovu IP. Prince je poudaril, da "sprejetje več lahko slabim fantom omogoči uporabo projekta, da bi sami odkrili odprte reševalce."
Če želite preveriti prostor za naslove v omrežju, je pojasnil Prince, začnete z dejanskim naslovom IP, ki ima obliko AAA.BBB.CCC.DDD. "Vzemite del DDD, " je dejal, "in ga nadomestite z 0. Nato do konca dodajte / /." To je vrednost, ki jo boste posredovali projektu Open Resolver.
Kar se tiče mojega zaključka, da prazno iskanje pomeni, da ste v redu, je Prince opozoril, da to ni čisto res. Po eni strani, če vaše omrežje obsega več kot 256 naslovov, "morda ne bo preverjalo celotnega svojega korporativnega omrežja (lažni negativ)." Nadalje je poudaril: "Po drugi strani ima večina malih podjetij in stanovanjskih uporabnikov dejansko dodelitev IP-jev, ki je manjša od / 24, tako da bodo dejansko preverjali IP-je, nad katerimi nimajo nadzora." Rezultat, ki ni v redu, je torej lahko lažno pozitiven.
Prince je sklenil, da ima ta pregled morda nekaj koristnega. "Prepričajte se, da boste dali vse ustrezne pripombe, " je dejal, "da ljudje ne bodo imeli lažnega občutka varnosti ali panike zaradi odprtega razreševalca svojega soseda, nad katerim nimajo nadzora."
Večja težava
Precej drugačen pogled imam na Gur Shatz, izvršni direktor spletnega mesta Incapsula. "Tako za dobre kot za slabe, " je dejal Shatz, "je enostavno odkriti odprte razreševalce. Dobri fantje jih lahko zaznajo in popravijo; slabi fantje jih lahko zaznajo in uporabljajo. Naslov IPv4 je zelo majhen, zato ga je enostavno preslikati in skenirati to."
Shatz ni optimističen glede rešitve odprtega rešitve. "Na milijone je odprtih reševalcev, " je opozoril. "Kakšne so možnosti, da jih vse ukinemo? To bo počasen in boleč postopek." In četudi nam uspe, to še ni konec. "Drugi napadi ojačanja obstajajo, " je opozoril Shatz. "Razmislek o DNS je ravno najlažji."
"Opažamo večje in večje napade, " je dejal Shatz, "tudi brez ojačanja. Del težave je v tem, da ima vse več uporabnikov širokopasovne povezave, zato lahko botneti uporabljajo več pasovne širine." Toda največja težava je anonimnost. Če lahko hekerji ponarejajo izvorni IP naslov, napada ne bo mogoče slediti. Shatz je ugotovil, da je edini način, da CyberBunkerja poznamo kot napadalca v primeru SpamHaus, ta, da je predstavnik skupine zahteval dobroimetje.
V trinajst let starem dokumentu, imenovanem BCP 38, je jasno opisana tehnika "Poraz napadov z zavračanjem storitve, ki uporabljajo zaviranje naslova IP vira." Shatz je opozoril, da se manjši ponudniki morda ne zavedajo BCP 38, vendar pa bi široko izvajanje lahko "zaprlo prevarjanje na robovih, fantje pa dejansko izdajo IP naslove."
Problem na višji ravni
Preverjanje ločljivosti DNS vašega podjetja s tehniko, ki sem jo opisal, ne more škoditi, za resnično rešitev pa potrebujete revizijo omrežnega strokovnjaka, ki lahko razume in izvede vse potrebne varnostne ukrepe. Če imate hišnega strokovnjaka, ne predvidevajte, da je že poskrbel za to. IT strokovnjak Trevor Pott je v Registru priznal, da je bil v napadu na SpamHaus uporabljen njegov lastnik DNS.
Eno je gotovo; negativci se ne bodo ustavili samo zato, ker smo zaprli določeno vrsto napada. Prešli bodo na drugo tehniko. Odrivanje maske, čeprav jim odvzame anonimnost, kar bi dejansko lahko prineslo dobro.
