Video: Паркур Погоня Зомби (Видео от Первого Лица) (Oktober 2024)
Min sikkerhetsvakt-kollega Fahmida Rashid har en DNS-resolver i kjelleren, men for de fleste hjemme- og småbedriftsnettverk er DNS bare en annen tjeneste levert av ISP. Et mer sannsynlig sted for problemer er en virksomhet som er stor nok til å ha sin egen komplette nettverksinfrastruktur, men ikke stor nok til å ha en nettverksadministrator på heltid. Hvis jeg jobbet i et slikt selskap, ville jeg sjekke DNS-oppløseren min for å forsikre meg om at den ikke kunne omsettes til en zombiehær.
Hva er DNS-en min?
Sjekking av Internett-tilkoblingsegenskapene dine eller angi IPCONFIG / ALL på en ledetekst vil ikke nødvendigvis hjelpe deg med å identifisere IP-adressen til DNS-serveren din. Sjansen er stor for at det i Internett-tilkoblingens TCP / IP-egenskaper er innstilt på å skaffe en DNS-serveradresse automatisk, og IPCONFIG / ALL vil sannsynligvis vise en intern-bare NAT-adresse som 192.168.1.254.
Et lite søk slo opp det nyttige nettstedet http://myresolver.info. Når du besøker dette nettstedet, rapporterer den din IP-adresse sammen med adressen til din DNS-resolver. Bevæpnet med denne informasjonen, kom jeg med en plan:
- Gå til http://myresolver.info for å finne IP-adressen til din DNS rekursive resolver
- Klikk på koblingen {?} Ved siden av IP-adressen for mer informasjon
- I det resulterende diagrammet finner du en eller flere adresser under overskriften "Kunngjøring", f.eks. 69.224.0.0/12
- Kopier den første av disse til utklippstavlen
- Naviger til Open Resolver Project http://openresolverproject.org/ og lim inn adressen i søkefeltet nær toppen.
- Gjenta for eventuelle tilleggsadresser
- Hvis søket kommer tomt, er du OK
Eller er du det?
Tilregnlighetssjekk
Jeg er i beste fall en nettverksdilettant, absolutt ikke ekspert, så jeg kjørte planen min forbi Matthew Prince, administrerende direktør i CloudFlare. Han påpekte noen få feil i logikken min. Prince bemerket at mitt første skritt sannsynligvis vil returnere "enten resolveren som drives av deres Internett-leverandør eller noen som Google eller OpenDNS." Han foreslo i stedet at man kunne "finne ut hva nettverkets IP-adresse er, og så sjekke plassen rundt det." Siden myresolver.info også returnerer IP-adressen din, er det enkelt nok; du kan sjekke begge deler.
Price påpekte at den aktive DNS-oppløseren som brukes til spørsmål i nettverket ditt, sannsynligvis er riktig konfigurert. "De åpne oppløserne er ofte ikke det som brukes til PC-er, " sa han, men for andre tjenester… Disse er ofte glemte installasjoner som kjører på et nettverk et sted som ikke brukes til mye."
Han påpekte også at Open Resolver Project begrenser antall adresser som er sjekket med hvert spørsmål til 256 - det er hva "/ 24" etter IP-adressen betyr. Prince påpekte at "å akseptere mer kan tillate skurkene å bruke prosjektet for å oppdage åpne resolusere selv."
For å sjekke nettverkets IP-adresserom, forklarte Prince, begynner du med din faktiske IP-adresse, som har skjemaet AAA.BBB.CCC.DDD. "Ta DDD-delen, " sa han, "og erstatt den med en 0. Legg deretter a / 24 til slutten." Dette er verdien du gir til Open Resolver Project.
Når det gjelder min konklusjon, at et tomt søk betyr at du er OK, advarte Prince at det ikke er helt sant. På den ene siden, hvis nettverket ditt spenner over mer enn 256 adresser, "kan det hende at de ikke sjekker hele bedriftsnettverket (et falskt negativt)." Han fortsatte med å merke: "På den annen side har de fleste små bedrifter og private brukere en tildeling av IP-er som er mindre enn 24, så de vil faktisk sjekke IP-er som de ikke har kontroll over." Et resultat som ikke er OK, kan da være falskt positivt.
Prince konkluderte med at denne sjekken kan ha en viss nytteverdi. "Bare sørg for at du gir alle passende advarsler, " sa han, "slik at folk ikke får en falsk trygghet eller panikk over sin nabos åpne resolver som de ikke har kontroll over."
Et større problem
Jeg fikk et ganske annet syn fra Gur Shatz, administrerende direktør i nettstedssikkerhetsselskapet Incapsula. "For både godt og vondt, " sa Shatz, "det er lett å oppdage åpne oppløsere. Gode gutter kan oppdage og fikse dem; skurkene kan oppdage og bruke dem. IPv4-adresseområdet er veldig lite, så det er lett å kartlegge og skanne den."
Shatz er ikke optimistisk når det gjelder å løse problemet med åpen løsning. "Det er millioner av åpne oppløsere, " bemerket han. "Hva er sjansene for å få dem alle stengt ned? Det vil være en langsom og smertefull prosess." Og selv om vi lykkes, er det ikke slutten. "Andre forsterkningsangrep eksisterer, " bemerket Shatz. "DNS-refleksjon er bare den enkleste."
"Vi ser større og større angrep, " sa Shatz, "selv uten forsterkning. En del av problemet er at flere og flere brukere har bredbånd, slik at botnett kan bruke mer båndbredde." Men det største problemet er anonymitet. Hvis hackere kan forfalske IP-adressen til opprinnelsen, blir angrepet ikke sporbart. Shatz bemerket at den eneste måten vi kjenner CyberBunker som angriperen i SpamHaus-saken, er at en representant for gruppen hevdet kreditt.
Et tretten år gammelt dokument kalt BCP 38 staver tydelig en teknikk for "Bekjempelse av denial of Service Attacks som bruker IP Source Address Spoofing." Shatz bemerket at mindre tilbydere kan være uvitende om BCP 38, men allikevel kan utbredt implementering "legge ned spoofing i kantene, gutta faktisk gir ut IP-adresser."
Et høyere nivå
Å sjekke bedriftens DNS-resolver ved å bruke teknikken jeg beskrev, kunne ikke skade, men for en reell løsning trenger du en revisjon av en nettverksekspert, noen som kan forstå og iverksette nødvendige sikkerhetstiltak. Selv om du har en nettverksekspert på nettet, ikke antar at han allerede har tatt hånd om dette. IT-profesjonell Trevor Pott tilsto i The Register at hans egen DNS-resolver hadde blitt brukt i angrepet mot SpamHaus.
En ting er sikkert; skurkene vil ikke stoppe bare fordi vi stenger av en bestemt type angrep. De vil bare bytte til en annen teknikk. Å rive av masken, men ta bort sin anonymitet, kan det faktisk gjøre noe bra.
