Bạn có phải là zombie không? Làm thế nào để kiểm tra độ phân giải dns mở

Cuộc tấn công từ chối dịch vụ phân tán gần đây chống lại nhóm chống spam quốc tế SpamHaus đã sử dụng một kỹ thuật gọi là phản chiếu DNS để tạo ra lưu lượng truy cập khổng lồ cho SpamHaus, làm quá tải máy chủ của họ. Kỹ thuật này dựa vào việc sử dụng hàng ngàn máy chủ DNS được cấu hình không đúng để khuếch đại cuộc tấn công DDoS, trong trường hợp này là vài trăm. Có rất nhiều thứ để tìm; Dự án Trình giải quyết DNS mở đã xác định được hơn 25 triệu máy chủ như vậy. Là của bạn (hoặc công ty của bạn) một trong số họ?

Đồng nghiệp Fahmida Rashid của tôi có một bộ giải quyết DNS trong tầng hầm của cô, nhưng đối với hầu hết các mạng gia đình và doanh nghiệp nhỏ, DNS chỉ là một dịch vụ khác được cung cấp bởi ISP. Một điểm có khả năng xảy ra sự cố là một doanh nghiệp đủ lớn để có cơ sở hạ tầng mạng hoàn chỉnh của riêng mình nhưng không đủ lớn để có một quản trị viên mạng toàn thời gian. Nếu tôi làm việc trong một công ty như vậy, tôi muốn kiểm tra trình phân giải DNS của mình để đảm bảo rằng nó không thể bị gán cho một đội quân zombie.

DNS của tôi là gì?

Kiểm tra các thuộc tính kết nối Internet của bạn hoặc nhập IPCONFIG / ALL tại Dấu nhắc lệnh sẽ không nhất thiết giúp bạn xác định địa chỉ IP của máy chủ DNS của bạn. Rất có thể là trong các thuộc tính TCP / IP của kết nối Internet, nó được đặt để tự động lấy địa chỉ máy chủ DNS và IPCONFIG / ALL có thể sẽ hiển thị địa chỉ NAT chỉ nội bộ như 192.168.1.254.

Một chút tìm kiếm đã bật lên trang web tiện dụng http://myresolver.info. Khi bạn truy cập trang web này, nó sẽ báo cáo địa chỉ IP của bạn cùng với địa chỉ của trình phân giải DNS của bạn. Được trang bị thông tin này, tôi đã đưa ra một kế hoạch:

• Truy cập http://myresolver.info để tìm địa chỉ IP của trình phân giải đệ quy DNS của bạn
• Nhấp vào liên kết {?} Bên cạnh địa chỉ IP để biết thêm thông tin
• Trong biểu đồ kết quả, bạn sẽ tìm thấy một hoặc nhiều địa chỉ dưới tiêu đề "Thông báo", ví dụ: 69.224.0.0/12
• Sao chép đầu tiên trong số này vào clipboard
• Điều hướng đến Dự án trình giải quyết mở http://openresolverproject.org/ và dán địa chỉ vào hộp tìm kiếm gần đầu trang.
• Lặp lại cho bất kỳ địa chỉ bổ sung
• Nếu tìm kiếm trống, bạn ổn

Hay là bạn?

Kiểm tra sự tỉnh táo

Tôi là một chuyên gia mạng lưới tốt nhất, chắc chắn không phải là một chuyên gia, vì vậy tôi đã điều hành kế hoạch của mình qua Matthew Prince, CEO của CloudFlare. Ông chỉ ra một vài sai sót trong logic của tôi. Prince lưu ý rằng bước đầu tiên của tôi có thể sẽ trả về "trình phân giải được điều hành bởi ISP của họ hoặc ai đó như Google hoặc OpenDNS." Thay vào đó, ông đề nghị rằng người ta có thể "tìm ra địa chỉ IP của mạng của bạn và sau đó kiểm tra không gian xung quanh đó." Vì myresolver.info cũng trả về địa chỉ IP của bạn, điều đó đủ dễ dàng; bạn có thể kiểm tra cả hai.

Giá chỉ ra rằng trình phân giải DNS hoạt động đang được sử dụng cho các truy vấn trên mạng của bạn rất có thể được định cấu hình chính xác. "Các bộ phân giải mở thường không phải là những gì đang được sử dụng cho PC", ông nói, nhưng đối với các dịch vụ khác … Đây là những cài đặt thường bị lãng quên chạy trên mạng ở một nơi không được sử dụng nhiều. "

Ông cũng chỉ ra rằng Dự án Trình giải quyết mở giới hạn số lượng địa chỉ được kiểm tra với mỗi truy vấn là 256, đó là "/ 24" sau địa chỉ IP nghĩa là gì. Prince chỉ ra rằng "chấp nhận nhiều hơn có thể cho phép kẻ xấu sử dụng Dự án để tự khám phá các trình giải quyết mở".

Để kiểm tra không gian địa chỉ IP của mạng, Prince giải thích, bạn bắt đầu với địa chỉ IP thực tế của bạn, có dạng AAA.BBB.CCC.DDD. "Lấy phần DDD, " anh ta nói, "và thay thế nó bằng 0. Sau đó thêm a / 24 vào cuối." Đây là giá trị bạn sẽ chuyển cho Dự án Trình giải quyết mở.

Theo kết luận của tôi, rằng một tìm kiếm trống có nghĩa là bạn ổn, Prince cảnh báo rằng nó không hoàn toàn đúng. Một mặt, nếu mạng của bạn trải rộng hơn 256 địa chỉ "họ có thể không kiểm tra toàn bộ mạng công ty của họ (âm tính giả)." Ông tiếp tục lưu ý: "Mặt khác, hầu hết các doanh nghiệp nhỏ và người dùng dân cư thực sự có phân bổ IP nhỏ hơn 24, vì vậy họ sẽ kiểm tra IP một cách hiệu quả mà họ không kiểm soát được." Kết quả không ổn, sau đó, có thể là dương tính giả.

Prince kết luận rằng kiểm tra này có thể có một số hữu ích. "Chỉ cần đảm bảo rằng bạn đưa ra tất cả các cảnh báo thích hợp", ông nói, "để mọi người không có cảm giác an toàn sai lầm hoặc hoảng loạn về người giải quyết mở của hàng xóm mà họ không kiểm soát được."

Một vấn đề lớn hơn

Tôi có một cái nhìn khá khác với Gur Shatz, CEO của công ty bảo mật trang web Incapsula. "Đối với cả mặt tốt và mặt xấu", Shatz nói, "thật dễ dàng để phát hiện các bộ giải quyết mở. Những người tốt có thể phát hiện và sửa chúng; những kẻ xấu có thể phát hiện và sử dụng chúng. Không gian địa chỉ IPv4 rất nhỏ, do đó dễ dàng lập bản đồ và quét nó. "

Shatz không lạc quan về việc giải quyết vấn đề trình giải quyết mở. "Có hàng triệu người giải quyết mở", ông lưu ý. "Cơ hội khiến tất cả đóng cửa là gì? Đó sẽ là một quá trình chậm chạp và đau đớn." Và ngay cả khi chúng ta thành công, đó không phải là kết thúc. "Các cuộc tấn công khuếch đại khác tồn tại, " Shatz lưu ý. "Phản ánh DNS là dễ nhất."

"Chúng tôi đang chứng kiến ​​các cuộc tấn công lớn hơn và lớn hơn", Shatz nói, "ngay cả khi không có sự khuếch đại. Một phần của vấn đề là ngày càng nhiều người dùng có băng thông rộng, do đó các botnet có thể sử dụng nhiều băng thông hơn." Nhưng vấn đề lớn nhất là sự ẩn danh. Nếu tin tặc có thể giả mạo địa chỉ IP gốc, cuộc tấn công sẽ không thể truy cập được. Shatz lưu ý rằng cách duy nhất chúng ta biết CyberBunker là kẻ tấn công trong vụ SpamHaus là một đại diện của nhóm đã tuyên bố tín dụng.

Một tài liệu mười ba tuổi có tên BCP 38 đã nói rõ một kỹ thuật "Đánh bại các cuộc tấn công từ chối dịch vụ sử dụng giả mạo địa chỉ nguồn IP". Shatz lưu ý rằng các nhà cung cấp nhỏ hơn có thể không biết về BCP 38, nhưng việc triển khai rộng rãi có thể "đóng cửa giả mạo ở các cạnh, những kẻ thực sự đưa ra địa chỉ IP."

Một vấn đề cấp cao hơn

Kiểm tra trình phân giải DNS của công ty bạn bằng cách sử dụng kỹ thuật mà tôi mô tả không thể làm tổn thương, nhưng để có giải pháp thực sự, bạn cần một chuyên gia kiểm toán, một người có thể hiểu và thực hiện bất kỳ biện pháp bảo mật cần thiết nào. Ngay cả khi bạn có một chuyên gia mạng trong nhà, đừng cho rằng anh ta đã quan tâm đến vấn đề này. Chuyên gia CNTT Trevor Pott thú nhận trong Sổ đăng ký rằng trình phân giải DNS của chính anh ta đã được sử dụng trong cuộc tấn công chống lại SpamHaus.

Một điều chắc chắn; Những kẻ xấu sẽ không dừng lại chỉ vì chúng ta đóng cửa một kiểu tấn công cụ thể. Họ sẽ chuyển sang một kỹ thuật khác. Tuy nhiên, xé mặt nạ ra, lấy đi sự ẩn danh của họ, điều đó thực sự có thể làm một số điều tốt.