Ви зомбі? Як перевірити наявність відкритих dns-резолюцій

Нещодавно розповсюджена атака розповсюдженого відмови в сервісі проти міжнародної групи боротьби зі спамом SpamHaus використовувала методику під назвою відображення DNS для створення величезної кількості трафіку для SpamHaus, перевантажуючи їхні сервери. Ця методика покладається на використання тисяч неправильно налаштованих DNS-серверів для посилення DDoS-атаки, в даному випадку коефіцієнтом декількох сотень. Є багато чого знайти; Проект Open DNS Resolver виявив понад 25 мільйонів таких серверів. Ваша (або Ваша компанія) одна з них?

Колега мого Security Watch Фахміда Рашид має роздільну здатність DNS у своєму підвалі, але для більшості домашніх та малих ділових мереж DNS - це ще одна послуга, що надається провайдером. Більш імовірним місцем для проблем є бізнес, достатньо великий, щоб мати власну повноцінну мережеву інфраструктуру, але недостатньо велику, щоб мати штатного адміністратора мережі. Якби я працював у такій компанії, я хотів би перевірити свій DNS-рішальник, щоб переконатися, що він не може бути призваний до армії зомбі.

Що таке мій DNS?

Перевірка властивостей підключення до Інтернету або введення IPCONFIG / ALL в командному рядку не обов'язково допоможе вам визначити IP-адресу вашого DNS-сервера. Швидше за все, що у властивостях TCP / IP підключення до Інтернету встановлено автоматичне отримання адреси DNS-сервера, а IPCONFIG / ALL, ймовірно, відображатиме внутрішню адресу NAT, наприклад, 192.168.1.254.

Трохи пошуків з'явився зручний веб-сайт http://myresolver.info. Коли ви відвідуєте цей сайт, він повідомляє вашу IP-адресу разом з адресою вашого DNS-рішення. Озброївшись цією інформацією, я придумав план:

• Перейдіть на сторінку http://myresolver.info, щоб знайти IP-адресу вашого рекурсивного розділювача DNS
• Клацніть посилання {?} Поруч із IP-адресою для отримання додаткової інформації
• У отриманій діаграмі ви знайдете одну або декілька адрес під заголовком "Оголошення", наприклад 69.224.0.0/12
• Скопіюйте перший із них у буфер обміну
• Перейдіть до проекту Resolver Open http://openresolverproject.org/ та вставте адресу у вікно пошуку біля верхньої частини.
• Повторіть будь-які додаткові адреси
• Якщо пошук з’явиться порожнім, ви все в порядку

Або ти?

Перевірка здоровості

Я в найкращому випадку мережевий дилетант, звичайно не експерт, тому я провів свій план повз Метью Принца, генерального директора CloudFlare. Він вказав на кілька недоліків моєї логіки. Принц зазначив, що мій перший крок, швидше за все, повернеться "або дозволом, яким керує їхній провайдер, або хтось, як Google або OpenDNS". Натомість він запропонував "можна з'ясувати, що таке IP-адреса вашої мережі, а потім перевірити пробіл навколо цього". Оскільки myresolver.info також повертає вашу IP-адресу, це досить просто; ви могли перевірити і те, і інше.

Прайс зазначив, що активний DNS-розв'язувач, який використовується для запитів у вашій мережі, швидше за все, правильно налаштований. "Відкриті резолюції часто не є те, що використовується для ПК", - сказав він, але для інших служб … Це часто забуті інсталяції, які працюють в мережі, де не використовуються багато. "

Він також зазначив, що проект Open Resolver обмежує кількість адрес, що перевіряються з кожним запитом, на 256 - саме це означає "/ 24" після IP-адреси. Принц зазначив, що "прийняття більше може дозволити поганим хлопцям використовувати проект для того, щоб самостійно виявити відкритих дозволів".

Щоб перевірити простір IP-адрес вашої мережі, пояснив Принц, ви починаєте з фактичної IP-адреси, яка має форму AAA.BBB.CCC.DDD. "Візьміть частину DDD, - сказав він, - і замініть її на 0. Потім додати / / 24 до кінця". Це значення, яке ви передасте проекту Open Resolver Project.

Що стосується мого висновку, що порожній пошук означає, що ви все в порядку, принц попередив, що це не зовсім правда. З одного боку, якщо ваша мережа охоплює більше 256 адрес, "вони можуть не перевіряти всю свою корпоративну мережу (помилковий мінус)". Він зазначив: "З іншого боку, більшість малих підприємств та житлових користувачів насправді мають розподіл IP-адрес, менших за / 24, тому вони фактично перевірять IP-адреси, над якими вони не мають ніякого контролю". Результат, що не відповідає нормам, може бути помилковим позитивом.

Принц зробив висновок, що ця перевірка може мати корисність. "Просто переконайтесь, що ви даєте всі відповідні застереження", - сказав він, - щоб люди не отримували помилкового почуття безпеки або паніки щодо відкритого дозволу свого сусіда, над яким вони не мають контролю ".

Більша проблема

Я отримав досить інший погляд від Гура Шаца, генерального директора компанії з безпеки веб-сайтів Incapsula. "І для хороших, і для поганих", - сказав Шац, - легко виявити відкриті резолюції. Хороші хлопці можуть їх виявити та виправити; погані хлопці можуть їх виявити та використовувати. Адресний простір IPv4 дуже малий, тому їх легко складати на карту та сканувати це ".

Шац не оптимістично налаштований на вирішення проблеми відкритого рішення. "Є мільйони відкритих резолюцій", - зазначив він. "Які шанси змусити їх усіх закрити? Це буде повільним і болісним процесом". І навіть якщо нам це вдасться, це ще не кінець. "Існують інші атаки посилення", - зазначив Шац. "Відображення DNS - це просто найпростіше."

"Ми спостерігаємо все більші та більші атаки, - сказав Шац, - навіть без посилення. Частина проблеми полягає в тому, що все більше і більше користувачів мають широкосмугову мережу, тому ботнети можуть використовувати більшу пропускну спроможність". Але найбільша проблема - анонімність. Якщо хакери можуть сфабрикувати початкову IP-адресу, атака не відстежується. Шац зазначив, що єдиний спосіб, коли ми знаємо CyberBunker як зловмисника у справі SpamHaus, - це те, що представник групи претендував на кредит.

У тринадцятирічному документі під назвою BCP 38 чітко прописана методика "Перемоги над атаками на обслуговування, які використовують підробку адрес IP-джерела". Шац зазначив, що більш дрібні постачальники можуть не знати про BCP 38, але широко розповсюджена реалізація може "закрити підробку по краях, хлопці фактично видають IP-адреси".

Проблема вищого рівня

Перевірка DNS-рішень вашої компанії за допомогою описаної нами методики не зашкодила, але для реального рішення вам потрібен аудит мережевого експерта, який може зрозуміти та реалізувати будь-які необхідні заходи безпеки. Якщо у вас є домашній експерт у мережі, не вважайте, що він уже про це подбав. Професіонал ІТ Тревор Потт зізнався в Реєстрі, що його власний DNS-рішальник використовувався в нападі на SpamHaus.

Одне певне; погані хлопці не зупиняться лише тому, що ми закрили певний тип атаки. Вони просто перейдуть на іншу техніку. Знімаючи маску, однак, позбавляючи їх анонімності, це насправді може принести користь.