Ты зомби? как проверить для открытых DNS-резольверов

Недавняя атака распределенного отказа в обслуживании на международную группу по борьбе со спамом SpamHaus использовала технику, называемую DNS-отражение, для генерации огромных объемов трафика для SpamHaus, перегружая их серверы. Этот метод основан на использовании тысяч неправильно настроенных DNS-серверов для усиления атаки DDoS, в данном случае в несколько сотен раз. Есть много, чтобы найти; Проект Open DNS Resolver определил более 25 миллионов таких серверов. Ваша (или ваша компания) одна из них?

У моей коллеги по безопасности, Фахмиды Рашид, в подвале есть распознаватель DNS, но для большинства домашних сетей и сетей малого бизнеса DNS - это просто еще одна услуга, предоставляемая Интернет-провайдером. Более вероятное место для проблем - это бизнес, достаточно большой, чтобы иметь собственную полную сетевую инфраструктуру, но недостаточно большой, чтобы иметь администратора сети, работающего полный рабочий день. Если бы я работал в такой компании, я бы хотел проверить свой DNS-распознаватель, чтобы убедиться, что он не может быть призван в армию зомби.

Какой у меня DNS?

Проверка свойств вашего интернет-соединения или ввод IPCONFIG / ALL в командной строке не обязательно поможет вам определить IP-адрес вашего DNS-сервера. Скорее всего, в свойствах TCP / IP подключения к Интернету установлено автоматическое получение адреса DNS-сервера, и IPCONFIG / ALL, вероятно, будет показывать только внутренний адрес NAT, такой как 192.168.1.254.

Немного поиска нашел удобный сайт http://myresolver.info. Когда вы посещаете этот сайт, он сообщает ваш IP-адрес вместе с адресом вашего преобразователя DNS. Вооружившись этой информацией, я придумал план:

• Перейдите по адресу http://myresolver.info, чтобы найти IP-адрес рекурсивного преобразователя DNS.
• Нажмите на ссылку {?} Рядом с IP-адресом для получения дополнительной информации.
• В итоговой таблице вы найдете один или несколько адресов под заголовком «Объявление», например, 69.224.0.0/12.
• Скопируйте первый из них в буфер обмена
• Перейдите к Open Resolver Project http://openresolverproject.org/ и вставьте адрес в окно поиска вверху.
• Повторите для любых дополнительных адресов
• Если поиск окажется пустым, вы в порядке

Или вы?

Санитарная проверка

Я в лучшем случае сетевой дилетант, конечно, не эксперт, поэтому я руководил своим планом мимо Мэтью Принса, генерального директора CloudFlare. Он указал на несколько недостатков в моей логике. Принц отметил, что мой первый шаг, скорее всего, вернет «либо распознаватель, управляемый их провайдером, либо кто-то вроде Google или OpenDNS». Вместо этого он предложил «выяснить, каков IP-адрес вашей сети, а затем проверить пространство вокруг этого». Поскольку myresolver.info также возвращает ваш IP-адрес, это достаточно просто; Вы можете проверить оба.

Прайс указал, что активный DNS-распознаватель, используемый для запросов в вашей сети, скорее всего, настроен правильно. «Открытые распознаватели часто не то, что используется для ПК», - сказал он, но для других сервисов… Это часто забытые установки, работающие в сети, где-то не слишком часто ».

Он также отметил, что Open Resolver Project ограничивает число адресов, проверяемых каждым запросом, 256 - это то, что означает «/ 24» после IP-адреса. Принц отметил, что «принятие большего количества может позволить плохим парням использовать Проект для обнаружения самих открытых распознавателей».

По словам Принса, чтобы проверить пространство IP-адресов вашей сети, вы начнете с фактического IP-адреса, который имеет форму AAA.BBB.CCC.DDD. «Возьмите часть DDD, - сказал он, - и замените ее на 0. Затем добавьте / 24 к концу». Это значение, которое вы передадите в Open Resolver Project.

Что касается моего заключения, что пустой поиск означает, что вы в порядке, Принц предупредил, что это не совсем так. С одной стороны, если ваша сеть охватывает более 256 адресов, «они могут не проверять всю свою корпоративную сеть (ложное отрицание)». Далее он отметил: «С другой стороны, у большинства малых предприятий и частных пользователей распределение IP-адресов меньше, чем / 24, поэтому они будут эффективно проверять IP-адреса, которые они не контролируют». Неудачный результат, следовательно, может быть ложным срабатыванием.

Принц пришел к выводу, что эта проверка может иметь некоторую полезность. «Просто убедитесь, что вы даете все соответствующие предостережения, - сказал он, - чтобы люди не испытывали ложного чувства безопасности или паники по поводу открытого распознавателя своего соседа, который они не контролируют».

Большая проблема

Я получил совсем другое мнение от Гура Шаца, генерального директора компании по безопасности сайтов Incapsula. «И для хорошего, и для плохого, - сказал Шац, - легко обнаружить открытые средства распознавания. Хорошие парни могут обнаруживать и исправлять их; плохие парни могут обнаруживать и использовать их. Адресное пространство IPv4 очень мало, поэтому его легко сопоставлять и сканировать Это."

Шац не испытывает оптимизма по поводу решения проблемы открытого решателя. «Есть миллионы открытых распознавателей», - отметил он. «Каковы шансы их всех закрыть? Это будет медленный и болезненный процесс». И даже если мы добьемся успеха, это еще не конец. «Существуют и другие атаки усиления», - отметил Шац. «Отражение DNS - самое простое».

«Мы наблюдаем все большие и большие атаки, - сказал Шац, - даже без усиления. Часть проблемы заключается в том, что все больше и больше пользователей используют широкополосный доступ, поэтому бот-сети могут использовать большую пропускную способность». Но самая большая проблема - анонимность. Если хакеры могут подделать исходный IP-адрес, атака становится недоступной для отслеживания. Шац отметил, что единственный способ, которым мы знаем CyberBunker как злоумышленника по делу SpamHaus, - это то, что представитель группы потребовал кредит.

В тринадцатилетнем документе, называемом BCP 38, четко изложена методика «Борьба с атаками типа« отказ в обслуживании », в которых используется подмена IP-адреса источника». Шац отметил, что более мелкие провайдеры могут не знать о BCP 38, но широко распространенная реализация может «закрыть спуфинг на краях, парни фактически выдают IP-адреса».

Проблема более высокого уровня

Проверка DNS-распознавателя вашей компании с использованием описанной мной методики не помешает, но для реального решения вам необходим аудит сетевого эксперта, который может понять и реализовать любые необходимые меры безопасности. Даже если у вас есть сетевой эксперт, не думайте, что он уже позаботился об этом. ИТ-специалист Тревор Потт признался в The Register, что его собственный DNS-распознаватель использовался при атаке на SpamHaus.

Одно можно сказать наверняка; плохие парни не остановятся только потому, что мы закрыли определенный тип атаки. Они просто переключатся на другую технику. Срывая маску, тем не менее, лишая их анонимности, это действительно может принести пользу.