คุณเป็นซอมบี้หรือไม่? วิธีตรวจสอบตัวแก้ไข DNS ที่เปิดอยู่

การกระจายการปฏิเสธการให้บริการเมื่อเร็ว ๆ นี้ได้ทำการโจมตีกลุ่มต่อต้านสแปมระดับนานาชาติโดยใช้เทคนิคที่เรียกว่าการสะท้อน DNS เพื่อสร้างปริมาณการรับส่งข้อมูลจำนวนมากสำหรับ SpamHaus ทำให้เซิร์ฟเวอร์ของตนมีจำนวนมากเกินไป เทคนิคนี้อาศัยการใช้เซิร์ฟเวอร์ DNS ที่กำหนดค่าไม่ถูกต้องนับพันเพื่อขยายการโจมตี DDoS ในกรณีนี้ด้วยปัจจัยหลายร้อย มีมากมายให้ค้นหา; โครงการ Open DNS Resolver Project ได้ระบุเซิร์ฟเวอร์ดังกล่าวมากกว่า 25 ล้านเครื่อง เป็นของคุณ (หรือ บริษัท ของคุณ) หนึ่งในนั้นหรือไม่

เพื่อนร่วมงานความปลอดภัยของฉัน Fahmida Rashid มีตัวแก้ไข DNS ในห้องใต้ดินของเธอ แต่สำหรับเครือข่ายที่บ้านและธุรกิจขนาดเล็กส่วนใหญ่ DNS เป็นเพียงบริการอื่นที่ ISP ให้บริการ จุดที่น่าเป็นปัญหาคือธุรกิจใหญ่พอที่จะมีโครงสร้างพื้นฐานเครือข่ายที่สมบูรณ์ แต่ไม่ใหญ่พอที่จะมีผู้ดูแลระบบเครือข่ายเต็มเวลา หากฉันทำงานใน บริษัท ดังกล่าวฉันต้องการตรวจสอบตัวแก้ไข DNS ของฉันเพื่อให้แน่ใจว่ามันจะไม่ถูกเกณฑ์เข้ากองทัพผีดิบ

DNS ของฉันคืออะไร

การตรวจสอบคุณสมบัติการเชื่อมต่ออินเทอร์เน็ตของคุณหรือป้อน IPCONFIG / ALL ที่พร้อมรับคำสั่งไม่จำเป็นต้องช่วยให้คุณระบุที่อยู่ IP ของเซิร์ฟเวอร์ DNS ของคุณ มีโอกาสดีที่คุณสมบัติ TCP / IP ของการเชื่อมต่ออินเทอร์เน็ตถูกตั้งค่าให้รับที่อยู่เซิร์ฟเวอร์ DNS โดยอัตโนมัติและ IPCONFIG / ALL อาจแสดงที่อยู่ NAT ภายในอย่างเดียวเช่น 192.168.1.254

ค้นหาเล็กน้อยเปิดเว็บไซต์ที่มีประโยชน์ http://myresolver.info เมื่อคุณเยี่ยมชมเว็บไซต์นี้จะรายงานที่อยู่ IP ของคุณพร้อมกับที่อยู่ของตัวแก้ไข DNS ของคุณ ด้วยข้อมูลนี้ฉันจึงมีแผน:

• ไปที่ http://myresolver.info เพื่อค้นหาที่อยู่ IP ของตัวแก้ไขการเรียกซ้ำ DNS ของคุณ
• คลิกลิงก์ {?} ถัดจากที่อยู่ IP เพื่อดูข้อมูลเพิ่มเติม
• ในแผนภูมิผลลัพธ์คุณจะพบที่อยู่อย่างน้อยหนึ่งที่อยู่ใต้หัวข้อ "ประกาศ" เช่น 69.224.0.0/12
• คัดลอกสิ่งเหล่านี้ก่อนไปยังคลิปบอร์ด
• นำทางไปยัง Open Resolver Project http://openresolverproject.org/ และวางที่อยู่ลงในช่องค้นหาใกล้กับด้านบน
• ทำซ้ำสำหรับที่อยู่เพิ่มเติมใด ๆ
• หากการค้นหาว่างเปล่าแสดงว่าคุณโอเค

หรือว่าคุณ

ตรวจสุขภาพจิต

ฉันเป็นเครือข่ายที่ดีที่สุดอย่างแน่นอนไม่ใช่ผู้เชี่ยวชาญดังนั้นฉันจึงวางแผนการทำงานที่ผ่านมา Matthew Prince, CEO ของ CloudFlare เขาชี้ให้เห็นข้อบกพร่องเล็กน้อยในตรรกะของฉัน เจ้าชายตั้งข้อสังเกตว่าขั้นตอนแรกของฉันอาจจะกลับมา "ตัวแก้ไขที่ดำเนินการโดย ISP หรือใครบางคนเช่น Google หรือ OpenDNS" เขาแนะนำว่าอาจคิดว่าที่อยู่ IP ของเครือข่ายของคุณคืออะไรจากนั้นตรวจสอบพื้นที่รอบ ๆ เนื่องจาก myresolver.info จะส่งคืนที่อยู่ IP ของคุณนั่นจึงง่ายพอ คุณสามารถตรวจสอบทั้งสองอย่าง

ราคาชี้ให้เห็นว่าตัวแก้ไข DNS ที่แอ็คทีฟที่ใช้สำหรับการสืบค้นในเครือข่ายของคุณมีการกำหนดค่าอย่างถูกต้อง "ตัวแก้ไขแบบเปิดมักจะไม่ใช่สิ่งที่ใช้สำหรับพีซี" เขากล่าว แต่สำหรับบริการอื่น ๆ … สิ่งเหล่านี้มักถูกลืมติดตั้งที่ทำงานบนเครือข่ายซึ่งไม่ได้ใช้งานมากนัก "

นอกจากนี้เขายังชี้ให้เห็นว่าโครงการ Open Resolver จำกัด จำนวนที่อยู่ที่ตรวจสอบกับแต่ละข้อความค้นหาที่ 256 ซึ่งเป็นสิ่งที่ "/ 24" หลังจากที่อยู่ IP หมายถึง เจ้าชายชี้ให้เห็นว่า "การยอมรับมากขึ้นจะทำให้คนร้ายใช้โครงการเพื่อค้นพบตัวแก้ไขที่เปิดอยู่"

หากต้องการตรวจสอบพื้นที่ที่อยู่ IP ของเครือข่ายของคุณ Prince อธิบายคุณเริ่มต้นด้วยที่อยู่ IP จริงของคุณซึ่งมีรูปแบบ AAA.BBB.CCC.DDD "รับชิ้นส่วน DDD" เขาพูด "แล้วแทนที่ด้วย 0 จากนั้นเพิ่ม a / 24 ไปยังจุดสิ้นสุด" นี่คือค่าที่คุณจะส่งให้กับโครงการ Open Resolver

สำหรับข้อสรุปของฉันการค้นหาว่างเปล่าหมายความว่าคุณโอเคเจ้าชายเตือนว่ามันไม่เป็นความจริงเลย ในอีกด้านหนึ่งหากเครือข่ายของคุณมีที่อยู่มากกว่า 256 ที่อยู่ "พวกเขาอาจไม่ตรวจสอบเครือข่ายขององค์กรทั้งหมด (เป็นค่าลบที่ผิดพลาด)" เขากล่าวต่อไปว่า "ในทางกลับกันธุรกิจขนาดเล็กและผู้ใช้ที่อยู่อาศัยส่วนใหญ่มีการจัดสรร IP ที่เล็กกว่า / 24 ดังนั้นพวกเขาจะตรวจสอบ IP อย่างมีประสิทธิภาพซึ่งไม่มีการควบคุมใด ๆ " ผลลัพธ์ที่ไม่ตกลงอาจเป็นผลบวกที่ผิดพลาดได้

เจ้าชายสรุปว่าเช็คนี้อาจมีประโยชน์บ้าง "เพียงให้แน่ใจว่าคุณให้คำเตือนที่เหมาะสมทั้งหมด" เขากล่าว "ดังนั้นผู้คนจะไม่รู้สึกปลอดภัยหรือตื่นตระหนกเกี่ยวกับตัวแก้ไขที่เปิดกว้างของเพื่อนบ้านซึ่งพวกเขาไม่สามารถควบคุมได้"

ปัญหาใหญ่กว่า

ฉันได้มุมมองที่แตกต่างจาก Gur Shatz ซีอีโอของ บริษัท รักษาความปลอดภัยเว็บไซต์ Incapsula "สำหรับทั้งดีและไม่ดี" Shatz กล่าว "มันง่ายต่อการตรวจหาตัวแก้ไขที่เปิดอยู่คนดีสามารถตรวจจับและแก้ไขได้คนเลวสามารถตรวจจับและใช้งานได้พื้นที่ที่อยู่ IPv4 นั้นเล็กมากดังนั้นจึงง่ายต่อการแมปและสแกน มัน."

Shatz ไม่ได้มองโลกในแง่ดีเกี่ยวกับการแก้ปัญหาตัวแก้ไขแบบเปิด "มีผู้แก้ปัญหาที่เปิดอยู่หลายล้านคน" เขากล่าว "โอกาสที่จะทำให้พวกเขาปิดตัวลงคืออะไรมันจะเป็นกระบวนการที่ช้าและเจ็บปวด" และแม้ว่าเราจะประสบความสำเร็จนั่นไม่ใช่จุดจบ "มีการโจมตีแบบขยายอื่น ๆ อยู่" Shatz กล่าว "การสะท้อน DNS นั้นง่ายที่สุด"

“ เราเห็นการโจมตีที่ใหญ่ขึ้นเรื่อย ๆ ” Shatz กล่าว“ แม้ไม่มีการขยายสัญญาณส่วนหนึ่งของปัญหาคือผู้ใช้จำนวนมากขึ้นเรื่อย ๆ ที่มีบรอดแบนด์ดังนั้นบอทเน็ตจึงสามารถใช้แบนด์วิดท์ได้มากกว่า” แต่ปัญหาที่ใหญ่ที่สุดคือการไม่เปิดเผยตัว หากแฮกเกอร์สามารถหลอกที่อยู่ IP ต้นทางการโจมตีจะไม่สามารถแก้ไขได้ Shatz ตั้งข้อสังเกตว่าวิธีเดียวที่เรารู้จัก CyberBunker ในฐานะผู้โจมตีในคดี SpamHaus ก็คือตัวแทนของกลุ่มอ้างเครดิต

เอกสารอายุสิบสามปีที่เรียกว่า BCP 38 สะกดเทคนิคออกมาอย่างชัดเจนสำหรับ "การเอาชนะการปฏิเสธการโจมตีบริการซึ่งใช้การปลอมแปลงแหล่งที่อยู่ IP" Shatz ตั้งข้อสังเกตว่าผู้ให้บริการรายย่อยอาจไม่รู้ BCP 38 แต่การดำเนินการอย่างกว้างขวางอาจ "ปิดการปลอมแปลงที่ขอบคนจริงให้ที่อยู่ IP"

ปัญหาระดับสูงขึ้น

การตรวจสอบตัวแก้ไข DNS ของ บริษัท ของคุณโดยใช้เทคนิคที่ฉันอธิบายไม่ได้ทำให้เจ็บปวด แต่สำหรับโซลูชันที่แท้จริงคุณต้องมีการตรวจสอบโดยผู้เชี่ยวชาญด้านเครือข่ายผู้ที่สามารถเข้าใจและใช้มาตรการรักษาความปลอดภัยที่จำเป็น แม้ว่าคุณจะมีผู้เชี่ยวชาญด้านเครือข่ายในบ้านอย่าคิดว่าเขาดูแลเรื่องนี้อยู่แล้ว ผู้เชี่ยวชาญด้านไอที Trevor Pott สารภาพใน The Register ว่าตัวแก้ไข DNS ของเขาถูกนำไปใช้ในการโจมตี SpamHaus

สิ่งหนึ่งที่แน่นอน; คนเลวจะไม่หยุดเพียงเพราะเราปิดการโจมตีบางประเภท พวกเขาจะเปลี่ยนไปใช้เทคนิคอื่น แม้ว่าการลอกหน้ากากออกไปจะทำให้พวกเขาไม่เปิดเผยตัวตน ซึ่ง อาจทำสิ่งที่ดีได้