Video: Паркур Погоня Зомби (Видео от Первого Лица) (Listopad 2024)
Moje kolegyně Security Watch Fahmida Rashidová má ve svém suterénu překladač DNS, ale pro většinu domácích a malých obchodních sítí je DNS pouze další službou poskytovanou poskytovatelem internetových služeb. Pravděpodobnějším místem problémů je podnik dostatečně velký na to, aby měl vlastní kompletní síťovou infrastrukturu, ale ne dost velký na to, aby měl správce sítě na plný úvazek. Kdybych pracoval v takové společnosti, chtěl bych zkontrolovat svůj DNS překladač, aby se ujistil, že jej nelze přepsat do zombie armády.
Co je moje DNS?
Kontrola vlastností internetového připojení nebo zadání IPCONFIG / ALL na příkazovém řádku nemusí nutně pomoci identifikovat IP adresu vašeho serveru DNS. Je pravděpodobné, že ve vlastnostech TCP / IP internetového připojení je nastaveno automatické získání adresy serveru DNS a IPCONFIG / ALL pravděpodobně zobrazí interní adresu NAT, například 192.168.1.254.
Trochu vyhledávání ukázalo užitečné webové stránky http://myresolver.info. Když navštívíte tento web, nahlásí vaši IP adresu spolu s adresou vašeho překladače DNS. Vyzbrojeni těmito informacemi jsem přišel s plánem:
- Přejděte na adresu http://myresolver.info a vyhledejte IP adresu vašeho rekurzivního překladače DNS
- Další informace získáte kliknutím na odkaz {?} Vedle adresy IP
- Ve výsledném grafu najdete jednu nebo více adres pod nadpisem „Oznámení“, např. 69.224.0.0/12
- Zkopírujte první z nich do schránky
- Přejděte na adresu Open Resolver Project http://openresolverproject.org/ a vložte adresu do vyhledávacího pole v horní části.
- Opakujte všechny další adresy
- Pokud bude vyhledávání prázdné, jste v pořádku
Nebo jste?
Šeková kontrola
Jsem v nejlepším případě síťový diletant, rozhodně nejsem odborník, takže jsem svůj plán absolvoval kolem Matthew Prince, generálního ředitele CloudFlare. Poukázal na několik nedostatků v mé logice. Prince poznamenal, že můj první krok pravděpodobně vrátí „buď resolver provozovaný jejich ISP nebo někoho jako Google nebo OpenDNS.“ Místo toho navrhl, že by člověk mohl „zjistit, jaká je IP adresa vaší sítě, a pak zkontrolovat prostor kolem ní“. Protože myresolver.info také vrací vaši IP adresu, je to dost snadné; můžete zkontrolovat oba.
Cena poukázala na to, že aktivní překladač DNS používaný pro dotazy ve vaší síti je s největší pravděpodobností správně nakonfigurován. "Otevřené resolvery často nejsou to, co se používá pro PC, " řekl, ale pro jiné služby… Často se jedná o zapomenuté instalace spuštěné v síti, kde se moc nepoužívají."
Poukázal také na to, že projekt Open Resolver omezuje počet adres zkontrolovaných s každým dotazem na 256 - to znamená „/ 24“ po IP adrese. Princ poukázal na to, že „přijetí více by mohlo umožnit zlým chlapcům použít projekt k odhalení samotných otevřených řešení.“
Chcete-li zkontrolovat IP adresový prostor vaší sítě, vysvětlte Prince, začnete svou skutečnou IP adresou, která má tvar AAA.BBB.CCC.DDD. "Vezměte část DDD, " řekl, "a nahraďte ji 0. Potom přidejte / 24 na konec." Toto je hodnota, kterou předáte projektu Open Resolver.
Pokud jde o můj závěr, že prázdné vyhledávání znamená, že jste v pořádku, princ varoval, že to není úplně pravda. Na jedné straně, pokud vaše síť zahrnuje více než 256 adres, „nemusí kontrolovat celou svou firemní síť (falešně negativní)“. Dále poznamenal: „Na druhou stranu většina malých podniků a rezidenčních uživatelů má přidělování IP, které je menší než 24/24, takže budou účinně kontrolovat IP, nad nimiž nemají žádnou kontrolu.“ Neúspěšný výsledek by tedy mohl být falešně pozitivní.
Prince dospěl k závěru, že tato kontrola může mít nějakou užitečnost. „Jen se ujistěte, že dáte všechny vhodné námitky, “ řekl, „aby lidé neznali falešný pocit bezpečí nebo paniky ohledně otevřeného resolveru svého souseda, nad kterým nemají kontrolu.“
Větší problém
Docela odlišný pohled jsem získal od Gur Shatze, generálního ředitele společnosti zabývající se zabezpečením webových stránek Incapsula. „Pro dobré i špatné, “ řekl Shatz, „je snadné odhalit otevřené resolvery. Dobrý kluci je mohou detekovat a opravit; špatní kluci je mohou detekovat a používat. Adresový prostor IPv4 je velmi malý, takže je snadné mapovat a skenovat to."
Shatz není optimistický při řešení problému otevřeného řešení. „Existují miliony otevřených rozhodčích, “ poznamenal. „Jaké jsou šance, že je všechny zavřou? Bude to pomalý a bolestivý proces.“ A i když se nám to podaří, to není konec. "Existují i další útoky zesílení, " poznamenal Shatz. "Odraz DNS je nejjednodušší."
"Vidíme větší a větší útoky, " řekl Shatz, "i bez zesílení. Část problému spočívá v tom, že stále více uživatelů má širokopásmové připojení, takže botnety mohou využívat větší šířku pásma." Největším problémem je však anonymita. Pokud hackeři mohou zfalšovat původní IP adresu, útok se stane nevysledovatelným. Shatz poznamenal, že jediný způsob, jak známe CyberBunkera jako útočníka v případě SpamHaus, je to, že zástupce skupiny si nárokoval kredit.
Třináctiletý dokument s názvem BCP 38 jasně uvádí techniku „Porážky útoků odmítnutí služeb, které využívají podvodné adresy IP“. Shatz poznamenal, že menší poskytovatelé nemusí být obeznámeni s BCP 38, ale rozšířená implementace by mohla „omezit spoofing na okrajích, kluci skutečně rozdávají IP adresy“.
Problém vyšší úrovně
Kontrola překladače DNS vaší společnosti pomocí popsané techniky nemohla ublížit, ale pro skutečné řešení potřebujete audit odborníka na síť, někoho, kdo rozumí a implementuje veškerá nezbytná bezpečnostní opatření. Přestože máte doma síťového experta, nepředpokládejte, že se o to již postaral. IT Professional Trevor Pott v registru přiznal, že jeho vlastní DNS překladač byl použit při útoku proti SpamHaus.
Jedna věc je jistá; zločinci se nezastaví jen proto, že jsme zastavili určitý typ útoku. Jen se přepnou na jinou techniku. Ripování masky, ačkoli, zbavit jejich anonymitu, to by vlastně mohlo udělat něco dobrého.
