Casa Securitywatch Sei uno zombi? come verificare i resolver DNS aperti

Sei uno zombi? come verificare i resolver DNS aperti

Video: Perché dovreste cambiare i DNS del vostro computer! (Novembre 2024)

Video: Perché dovreste cambiare i DNS del vostro computer! (Novembre 2024)
Anonim

Il recente attacco Distributed Denial of Service contro il gruppo internazionale antispam SpamHaus ha usato una tecnica chiamata DNS reflection per generare enormi quantità di traffico per SpamHaus, sovraccaricando i loro server. Questa tecnica si basa sull'utilizzo di migliaia di server DNS configurati in modo errato per amplificare l'attacco DDoS, in questo caso di un fattore di diverse centinaia. Ci sono molte cose da trovare; il progetto Open DNS Resolver ha identificato oltre 25 milioni di tali server. La tua (o la tua azienda) è una di queste?

La collega di My Security Watch Fahmida Rashid ha un resolver DNS nel suo seminterrato, ma per la maggior parte delle reti domestiche e di piccole imprese il DNS è solo un altro servizio fornito dall'ISP. Un punto più probabile per i problemi è un'azienda abbastanza grande da avere una propria infrastruttura di rete completa ma non abbastanza grande da avere un amministratore di rete a tempo pieno. Se lavorassi in un'azienda del genere, vorrei controllare il mio risolutore DNS per assicurarmi che non potesse essere arruolato in un esercito di zombi.

Qual è il mio DNS?

Controllare le proprietà della connessione Internet o inserire IPCONFIG / ALL da un prompt dei comandi non ti aiuterà necessariamente a identificare l'indirizzo IP del tuo server DNS. È probabile che nelle proprietà TCP / IP della connessione Internet sia impostato per ottenere automaticamente un indirizzo del server DNS e IPCONFIG / ALL probabilmente mostrerà un indirizzo NAT solo interno come 192.168.1.254.

Una piccola ricerca ha rivelato il pratico sito web http://myresolver.info. Quando visiti questo sito, segnala il tuo indirizzo IP insieme all'indirizzo del tuo resolver DNS. Armato di queste informazioni, ho elaborato un piano:

  • Vai su http://myresolver.info per trovare l'indirizzo IP del tuo resolver ricorsivo DNS
  • Fai clic sul link {?} Accanto all'indirizzo IP per ulteriori informazioni
  • Nel grafico risultante troverai uno o più indirizzi sotto l'intestazione "Annuncio", ad es. 69.224.0.0/12
  • Copia il primo di questi negli appunti
  • Passare a Open Resolver Project http://openresolverproject.org/ e incollare l'indirizzo nella casella di ricerca nella parte superiore.
  • Ripetere l'operazione per eventuali indirizzi aggiuntivi
  • Se la ricerca viene visualizzata vuota, stai bene

O lo sei?

Controllo sanitario

Nel migliore dei casi sono un dilettante di rete, sicuramente non un esperto, quindi ho passato il mio piano oltre Matthew Prince, CEO di CloudFlare. Ha sottolineato alcuni difetti nella mia logica. Prince ha notato che il mio primo passo probabilmente restituirà "o il resolver gestito dal loro ISP o qualcuno come Google o OpenDNS". Ha suggerito invece che si potrebbe "capire qual è l'indirizzo IP della rete e quindi controllare lo spazio attorno a quello". Poiché myresolver.info restituisce anche il tuo indirizzo IP, è abbastanza facile; potresti controllare entrambi.

Price ha sottolineato che il resolver DNS attivo utilizzato per le query sulla rete è molto probabilmente configurato correttamente. "I risolutori aperti spesso non sono quelli che vengono utilizzati per i PC", ha detto, ma per altri servizi… Si tratta spesso di installazioni dimenticate in esecuzione su una rete da qualche parte non utilizzate per molto."

Ha anche sottolineato che il progetto Open Resolver limita il numero di indirizzi controllati con ciascuna query a 256, ecco cosa significa "/ 24" dopo l'indirizzo IP. Prince ha sottolineato che "accettare di più potrebbe consentire ai malvagi di utilizzare il Progetto per scoprire da soli i risolutori aperti".

Per controllare lo spazio degli indirizzi IP della tua rete, ha spiegato Prince, inizi con il tuo vero indirizzo IP, che ha il formato AAA.BBB.CCC.DDD. "Prendi la parte DDD", ha detto, "e sostituiscila con uno 0. Quindi aggiungi un / 24 alla fine." Questo è il valore che passerai al progetto Open Resolver.

Per quanto riguarda la mia conclusione, che una ricerca vuota significa che stai bene, Prince ha avvertito che non è del tutto vero. Da un lato, se la tua rete si estende su più di 256 indirizzi "potrebbero non controllare l'intera rete aziendale (un falso negativo)". Ha proseguito osservando: "D'altra parte, la maggior parte delle piccole imprese e degli utenti residenziali in realtà hanno un'allocazione di IP inferiore a un / 24, quindi controlleranno effettivamente gli IP su cui non hanno alcun controllo". Un risultato non OK, quindi, potrebbe essere un falso positivo.

Prince concluse che questo controllo poteva avere qualche utilità. "Assicurati solo di dare tutte le precauzioni appropriate", ha detto, "in modo che le persone non abbiano un falso senso di sicurezza o panico per il risolutore aperto del vicino su cui non hanno alcun controllo."

Un problema più grande

Ho avuto una visione piuttosto diversa da Gur Shatz, CEO della società di sicurezza del sito web Incapsula. "Sia nel bene che nel male", ha detto Shatz, "è facile rilevare risolutori aperti. I bravi ragazzi possono rilevarli e risolverli; i cattivi possono rilevarli e usarli. Lo spazio degli indirizzi IPv4 è molto piccolo, quindi è facile mappare e scansionare esso ".

Shatz non è ottimista nel risolvere il problema del risolutore aperto. "Ci sono milioni di risolutori aperti", ha osservato. "Quali sono le possibilità di farli chiudere tutti ? Sarà un processo lento e doloroso." E anche se avremo successo, non sarà la fine. "Esistono altri attacchi di amplificazione", ha osservato Shatz. "La riflessione DNS è solo la più semplice."

"Stiamo assistendo a attacchi sempre più grandi", ha affermato Shatz, "anche senza amplificazione. Parte del problema è che sempre più utenti hanno la banda larga, quindi le botnet possono utilizzare più larghezza di banda". Ma il problema più grande è l'anonimato. Se gli hacker possono falsificare l'indirizzo IP di origine, l'attacco diventa irrintracciabile. Shatz ha osservato che l'unico modo in cui conosciamo CyberBunker come attaccante nel caso SpamHaus è che un rappresentante del gruppo ha rivendicato il credito.

Un documento di tredici anni chiamato BCP 38 spiega chiaramente una tecnica per "Sconfiggere gli attacchi Denial of Service che utilizzano lo spoofing dell'indirizzo IP di origine". Shatz ha osservato che i provider più piccoli potrebbero non essere a conoscenza di BCP 38, ma un'implementazione diffusa potrebbe "chiudere lo spoofing ai margini, i ragazzi in realtà forniscono indirizzi IP".

Un problema di livello superiore

Controllare il risolutore DNS della tua azienda usando la tecnica che ho descritto non potrebbe far male, ma per una soluzione reale hai bisogno di un controllo da parte di un esperto di rete, qualcuno in grado di comprendere e implementare tutte le misure di sicurezza necessarie. Anche se hai un esperto di rete in casa, non dare per scontato che si sia già preso cura di questo. Il professionista IT Trevor Pott ha confessato in The Register che il suo risolutore DNS era stato utilizzato nell'attacco contro SpamHaus.

Una cosa è certa; i cattivi non si fermeranno solo perché chiudiamo un particolare tipo di attacco. Passeranno a un'altra tecnica. Strappare la maschera, però, togliendo il loro anonimato, potrebbe effettivamente fare del bene.

Sei uno zombi? come verificare i resolver DNS aperti