האם אתה זומבי? כיצד לבדוק אם יש פתרונות דנס פתוחים - -

הפיגוע האחרון בהפצת מניעת השירות נגד SpamHaus הבינלאומי למלחמה בספאם, השתמש בטכניקה שנקראה השתקפות DNS כדי לייצר כמויות עצומות של תנועה עבור SpamHaus, תוך עומס יתר על השרתים שלהם. טכניקה זו מסתמכת על שימוש באלפי שרתי DNS שהוגדרו באופן לא תקין כדי להגביר את התקפת DDoS, במקרה זה על ידי גורם של כמה מאות. יש המון מה למצוא; פרויקט Open DNS Resolver Project זיהה למעלה מ- 25 מיליון שרתים כאלה. האם שלך (או של החברה שלך) הוא אחד מהם?

לעמיתת Watch Watch שלי, פחמידה ראשיד, יש פותר DNS במרתף שלה, אך עבור מרבית הרשתות הביתיות והעסקיות הקטנות DNS הוא רק שירות נוסף שמספק ספקית האינטרנט. נקודה סבירה יותר לבעיות היא עסק גדול מספיק כדי שיהיה לו תשתית רשת שלמה משלו, אך לא גדול מספיק כדי שיהיה לו מנהל רשת במשרה מלאה. אם עבדתי בחברה כזו, הייתי רוצה לבדוק את פותר ה- DNS שלי כדי לוודא שלא ניתן יהיה לגייס אותו לצבא זומבי.

מה ה- DNS שלי?

בדיקת מאפייני חיבור האינטרנט שלך או הזנת IPCONFIG / ALL בשורת פקודה לא בהכרח תעזור לך לזהות את כתובת ה- IP של שרת ה- DNS שלך. רוב הסיכויים כי במאפייני TCP / IP של חיבור האינטרנט הוא מוגדר להשיג כתובת שרת DNS באופן אוטומטי, ו- IPCONFIG / ALL כנראה יציג כתובת NAT פנימית בלבד כמו 192.168.1.254.

חיפושים קטנים העלו את האתר שימושי http://myresolver.info. כשאתה מבקר באתר זה, הוא מדווח על כתובת ה- IP שלך יחד עם הכתובת של פותר ה- DNS שלך. חמוש במידע זה, הגעתי לתוכנית:

• עבור אל http://myresolver.info כדי למצוא את כתובת ה- IP של פותר ה- DNS הרקורסיבי שלך
• לחץ על הקישור {?} שליד כתובת ה- IP למידע נוסף
• בתרשים המתקבל תמצאו כתובת אחת או יותר תחת הכותרת "הכרזה", למשל 69.224.0.0/12
• העתק את הראשון מבין אלה ללוח
• נווט אל Open Resolver Project http://openresolverproject.org/ והדבק את הכתובת בתיבת החיפוש שלמעלה.
• חזור על כל הכתובות הנוספות
• אם החיפוש עולה ריק, אתה בסדר

או שאתה?

בדיקת שפיות

אני במקרה הטוב דילטנטאי ברשת, בטח לא מומחה, אז העברתי את התוכנית שלי על פני מתיו פרינס, מנכ"ל CloudFlare. הוא ציין כמה ליקויים בהיגיון שלי. פרינס ציין כי הצעד הראשון שלי יחזור ככל הנראה "או הרזולוציה המנוהלת על ידי ספק האינטרנט שלהם או מישהו כמו גוגל או OpenDNS." במקום זאת הוא הציע שאפשר "להבין מה כתובת ה- IP של הרשת שלך ואז לבדוק את המרחב סביב זה." מכיוון שגם myresolver.info מחזיר את כתובת ה- IP שלך, זה די קל; אתה יכול לבדוק את שניהם.

מחיר ציין כי רזולוציית ה- DNS הפעילה המשמשת לשאלות ברשת שלך מוגדרת ככל הנראה בצורה נכונה. "הרזולוציות הפתוחות הן לרוב לא מה שמשתמש במחשבים אישיים, " אמר, אלא לשירותים אחרים… התקנות נשכחות לרוב הפועלות ברשת במקום שאינו משמש הרבה."

הוא גם ציין שפרויקט Open Resolver מגביל את מספר הכתובות שנבדקו עם כל שאילתה ל 256 - זה מה ש- "/ 24" אחרי פירוש כתובת ה- IP. פרינס ציין כי "קבלת יותר עלולה לאפשר לרעים להיעזר בפרויקט על מנת לגלות בעצמם רזולוציות פתוחות."

כדי לבדוק את שטח כתובת ה- IP של הרשת שלך, הסביר פרינס, אתה מתחיל עם כתובת ה- IP שלך בפועל, עם הטופס AAA.BBB.CCC.DDD. "קח את החלק של ה- DDD", הוא אמר, "והחליף אותו ב- 0. ואז הוסף / 24 עד הסוף." זה הערך שתעביר לפרויקט Open Resolver.

באשר למסקנה שלי, שחיפוש ריק פירושו שאתה בסדר, פרינס הזהיר שזה לא ממש נכון. מצד אחד, אם הרשת שלך משתרעת על למעלה מ 256 כתובות "יתכן שהם לא בודקים את כל הרשת הארגונית שלהם (שלילית כוזבת)." הוא המשיך וציין, "מצד שני, לרוב העסקים הקטנים ומשתמשי המגורים יש למעשה הקצאה של כתובות IP הקטנות מ- 24/24, כך שבאמת יבדקו כתובות IP עליהם אין להם שליטה." תוצאה שאינה בסדר, אם כן, יכולה להיות חיובית שגויה.

פרינס הגיע למסקנה כי ייתכן שבדיקה זו תועיל במידה מסוימת. "רק וודא שאתה נותן את כל האזהרות המתאימות, " אמר, "כדי שאנשים לא יקבלו תחושת ביטחון שגויה או בהלה לגבי הרזולוציה הגלויה של שכנתם עליהם אין להם שליטה."

בעיה גדולה יותר

קיבלתי תפיסה שונה למדי מגור שץ, מנכ"ל חברת האבטחה באתר אינקפסולה. "לטוב וגם לרע", אמר שץ, "קל לאתר רזולוציות פתוחות. בחורים טובים יכולים לאתר ולתקן אותם; בחורים רעים יכולים לאתר ולהשתמש בהם. שטח הכתובת של ה- IPv4 הוא קטן מאוד, כך שקל למפות ולסרוק זה."

שץ אינו אופטימי בפתרון בעיית הרזולוציה הפתוחה. "יש מיליוני החלטות פתוחות", ציין. "מה הסיכוי לסגור את כולם ? זה יהיה תהליך איטי וכואב." וגם אם נצליח, זה לא הסוף. "מתקפות הגברה אחרות קיימות", ציין שץ. "השתקפות DNS היא פשוט הקלה ביותר."

"אנו רואים התקפות גדולות וגדולות יותר", אמר שץ, "אפילו ללא הגברה. חלק מהבעיה היא שליותר ויותר משתמשים יש פס רחב, כך שבוטנטים יכולים להשתמש ברוחב פס רב יותר." אבל הבעיה הגדולה ביותר היא אנונימיות. אם האקרים יכולים לזייף את כתובת ה- IP של המקור, ההתקפה הופכת בלתי ניתנת למעקב. שץ ציין כי הדרך היחידה שאנו מכירים את CyberBunker כתוקף בפרשת SpamHaus היא שנציג הקבוצה תבע קרדיט.

מסמך בן שלוש-עשרה, בשם BCP 38, מבהיר בבירור טכניקה ל"הבסת מתקפות מניעת שירות המעסיקות זיוף כתובות IP ". שץ ציין כי ספקים קטנים יותר עשויים שלא להיות מודעים ל- BCP 38, אולם יישום נרחב עשוי "לסגור זיוף בקצוות, והחבר'ה למעשה מחלקים כתובות IP."

בעיה ברמה גבוהה יותר

בדיקת פותר ה- DNS של החברה שלך בטכניקה שתיארתי לא הייתה יכולה לפגוע, אך לצורך פיתרון אמיתי אתה זקוק לביקורת על ידי מומחה רשת, מישהו שיכול להבין וליישם את כל אמצעי האבטחה הדרושים. אפילו אם יש לך מומחה רשת בבית, אל תניח שהוא כבר דאג לזה. מומחה ה- IT טרבור פוט הודה בפנקס כי פותר ה- DNS שלו שימש בפיגוע נגד SpamHaus.

דבר אחד בטוח; הרעים לא יפסיקו רק בגלל שאנחנו סוגרים סוג מסוים של התקפה. הם פשוט יעברו לטכניקה אחרת. עם זאת, קורעים את המסכה, מסירים את האנונימיות שלהם, וזה אולי עשוי להועיל.