Video: Denial of Service Attacks (Part 1): Open DNS Resolvers (November 2024)
Mijn Security Watch-collega Fahmida Rashid heeft een DNS-resolver in haar kelder, maar voor de meeste thuis- en kleine zakelijke netwerken is DNS gewoon een andere service die wordt geleverd door de ISP. Een meer waarschijnlijke plek voor problemen is een bedrijf dat groot genoeg is om een eigen complete netwerkinfrastructuur te hebben, maar niet groot genoeg om een fulltime netwerkbeheerder te hebben. Als ik in zo'n bedrijf zou werken, zou ik mijn DNS-resolver willen controleren om er zeker van te zijn dat het niet in dienst kan worden genomen bij een zombieleger.
Wat is mijn DNS?
Het controleren van uw internetverbindingseigenschappen of het invoeren van IPCONFIG / ALL bij een opdrachtprompt helpt u niet noodzakelijkerwijs bij het identificeren van het IP-adres van uw DNS-server. De kans is groot dat in de TCP / IP-eigenschappen van de internetverbinding is ingesteld om automatisch een DNS-serveradres te verkrijgen en IPCONFIG / ALL waarschijnlijk een intern NAT-adres zoals 192.168.1.254 zal tonen.
Een beetje zoeken bleek de handige website http://myresolver.info. Wanneer u deze site bezoekt, wordt uw IP-adres gerapporteerd samen met het adres van uw DNS-resolver. Gewapend met deze informatie bedacht ik een plan:
- Ga naar http://myresolver.info om het IP-adres van uw recursieve DNS-resolver te vinden
- Klik op de link {?} Naast het IP-adres voor meer info
- In de resulterende grafiek vindt u een of meer adressen onder de kop "Aankondiging", bijv. 69.224.0.0/12
- Kopieer de eerste hiervan naar het klembord
- Navigeer naar Open Resolver Project http://openresolverproject.org/ en plak het adres in het zoekvak bovenaan.
- Herhaal dit voor eventuele aanvullende adressen
- Als de zoekopdracht leeg is, is alles in orde
Of ben jij?
Sanity Check
Ik ben op zijn best een netwerk-dilettante, zeker geen expert, dus ik liep mijn plan voorbij Matthew Prince, CEO van CloudFlare. Hij wees op enkele fouten in mijn logica. Prince merkte op dat mijn eerste stap waarschijnlijk zal terugkeren "ofwel de resolver van hun ISP of iemand zoals Google of OpenDNS." Hij suggereerde in plaats daarvan dat men zou kunnen "uitzoeken wat het IP-adres van uw netwerk is en dan de ruimte eromheen controleren". Omdat myresolver.info ook uw IP-adres retourneert, is dat eenvoudig genoeg; je zou beide kunnen controleren.
Price wees erop dat de actieve DNS-resolver die wordt gebruikt voor query's op uw netwerk waarschijnlijk correct is geconfigureerd. "De open resolvers worden vaak niet gebruikt voor pc's, " zei hij, maar voor andere services… Dit zijn vaak vergeten installaties die op een netwerk worden uitgevoerd en ergens niet veel worden gebruikt."
Hij wees er ook op dat het Open Resolver-project het aantal gecontroleerde adressen bij elke zoekopdracht beperkt tot 256 - dat is wat de "/ 24" na het IP-adres betekent. Prince wees erop dat "meer accepteren, slechteriken in staat zou kunnen stellen het Project te gebruiken om zelf open resolvers te ontdekken."
Om de IP-adresruimte van uw netwerk te controleren, legde Prince uit, begint u met uw werkelijke IP-adres, in de vorm AAA.BBB.CCC.DDD. "Neem het DDD-deel, " zei hij, "en vervang het door een 0. Voeg vervolgens een / 24 toe aan het einde." Dit is de waarde die u doorgeeft aan het Open Resolver-project.
Wat mijn conclusie betreft, dat een lege zoekopdracht betekent dat je in orde bent, Prince waarschuwde dat het niet helemaal waar is. Enerzijds, als uw netwerk meer dan 256 adressen omvat "controleren ze mogelijk niet hun hele bedrijfsnetwerk (een vals negatief)." Hij merkte verder op: "Anderzijds hebben de meeste kleine bedrijven en particuliere gebruikers een toewijzing van IP's die kleiner is dan a / 24, dus ze zullen IP's controleren waarover ze geen controle hebben." Een niet-OK resultaat kan dus een vals positief zijn.
Prince concludeerde dat deze controle enig nut zou kunnen hebben. "Zorg er wel voor dat je alle juiste kanttekeningen plaatst, " zei hij, "zodat mensen geen vals gevoel van veiligheid krijgen of in paniek raken over de open resolver van hun buurman waarover ze geen controle hebben."
Een groter probleem
Ik kreeg een nogal ander beeld van Gur Shatz, CEO van website-beveiligingsbedrijf Incapsula. "Voor zowel goed als slecht, " zei Shatz, "het is gemakkelijk om open resolvers te detecteren. Goede jongens kunnen ze detecteren en repareren; slechteriken kunnen ze detecteren en gebruiken. De IPv4-adresruimte is erg klein, dus het is gemakkelijk in kaart te brengen en te scannen het."
Shatz is niet optimistisch over het oplossen van het open resolverprobleem. "Er zijn miljoenen open resolvers, " merkte hij op. "Wat zijn de kansen om ze allemaal stil te krijgen? Het zal een langzaam en pijnlijk proces zijn." En zelfs als we slagen, is dat niet het einde. "Er zijn nog andere versterkingsaanvallen", merkte Shatz op. "DNS-reflectie is gewoon de gemakkelijkste."
"We zien steeds grotere aanvallen, " zei Shatz, "zelfs zonder versterking. Een deel van het probleem is dat steeds meer gebruikers breedband hebben, zodat botnets meer bandbreedte kunnen gebruiken." Maar het grootste probleem is anonimiteit. Als hackers het oorspronkelijke IP-adres kunnen vervalsen, wordt de aanval niet meer te traceren. Shatz merkte op dat de enige manier waarop we CyberBunker kennen als de aanvaller in de SpamHaus-zaak, is dat een vertegenwoordiger van de groep krediet claimde.
Een dertien jaar oud document met de naam BCP 38 beschrijft duidelijk een techniek voor "Het verslaan van Denial of Service-aanvallen waarbij IP Source Address Spoofing wordt gebruikt." Shatz merkte op dat kleinere providers misschien niet op de hoogte zijn van BCP 38, maar een wijdverspreide implementatie zou "spoofing aan de randen kunnen sluiten, de jongens geven eigenlijk IP-adressen uit".
Een hoger niveau probleem
Het controleren van de DNS-resolver van uw bedrijf met behulp van de techniek die ik heb beschreven, kon geen kwaad, maar voor een echte oplossing heeft u een audit nodig van een netwerkexpert, iemand die de nodige beveiligingsmaatregelen begrijpt en implementeert. Zelfs als u een netwerkexpert in huis heeft, ga er niet vanuit dat hij hier al voor heeft gezorgd. IT-professional Trevor Pott bekende in het register dat zijn eigen DNS-resolver was gebruikt in de aanval op SpamHaus.
Een ding is zeker; de slechteriken zullen niet stoppen alleen omdat we een bepaald type aanval afsluiten. Ze schakelen gewoon over naar een andere techniek. Het masker aftrekken, maar hun anonimiteit wegnemen, dat kan eigenlijk wel wat goeds doen.
