Video: UTF-8 Funktionsweise Kodierung - Alles was du wissen musst! (Oktober 2024)
Min Security Watch-kollega Fahmida Rashid har en DNS-resolver i hendes kælder, men for de fleste hjemmenetværk og små virksomhedsnetværk er DNS blot en anden service, der leveres af internetudbyderen. Et mere sandsynligt sted for problemer er en virksomhed, der er stor nok til at have sin egen komplette netværksinfrastruktur, men ikke stor nok til at have en fuldtidsnetværksadministrator. Hvis jeg arbejdede i et sådant firma, ville jeg tjekke min DNS-resolver for at sikre, at det ikke kunne omskrives til en zombiehær.
Hvad er min DNS?
Kontrollering af dine internetforbindelsesegenskaber eller indtastning af IPCONFIG / ALL på en kommandoprompt hjælper ikke nødvendigvis dig med at identificere IP-adressen på din DNS-server. Chancerne er gode, at det i internetforbindelsens TCP / IP-egenskaber er indstillet til at hente en DNS-serveradresse automatisk, og IPCONFIG / ALL vil sandsynligvis vise en intern NAT-adresse som 192.168.1.254.
Lidt søgning viste det praktiske websted http://myresolver.info. Når du besøger dette websted, rapporterer den din IP-adresse sammen med adressen på din DNS-resolver. Bevæbnet med disse oplysninger kom jeg med en plan:
- Gå til http://myresolver.info for at finde IP-adressen på din DNS-rekursive resolver
- Klik på linket {?} Ved siden af IP-adressen for mere information
- I det resulterende diagram finder du en eller flere adresser under overskriften "Meddelelse", f.eks. 69.224.0.0/12
- Kopier den første af disse til udklipsholderen
- Naviger til Open Resolver Project http://openresolverproject.org/, og indsæt adressen i søgefeltet nær toppen.
- Gentag for eventuelle yderligere adresser
- Hvis søgningen kommer tom, er du ok
Eller er du?
Sanitetskontrol
Jeg er i bedste fald en netværksdilettant, bestemt ikke en ekspert, så jeg løb min plan forbi Matthew Prince, administrerende direktør for CloudFlare. Han påpegede et par mangler i min logik. Prince bemærkede, at mit første skridt sandsynligvis vil vende tilbage "enten den resolver, der drives af deres internetudbyder eller en som Google eller OpenDNS." Han foreslog i stedet, at man måske skulle "finde ud af, hvad dit netværks IP-adresse er, og derefter kontrollere rummet omkring det." Da myresolver.info også returnerer din IP-adresse, er det let nok; du kunne tjekke begge dele.
Price påpegede, at den aktive DNS-resolver, der bruges til forespørgsler på dit netværk, sandsynligvis er konfigureret korrekt. "De åbne opløsere er ofte ikke det, der bruges til pc'er, " sagde han, men til andre tjenester… Disse er ofte glemte installationer, der kører på et netværk et sted, der ikke bruges til meget. ”
Han påpegede også, at Open Resolver Project begrænser antallet af adresser, der er kontrolleret med hver forespørgsel, til 256 - det er, hvad "/ 24" efter IP-adressen betyder. Prince påpegede, at "at acceptere mere kunne give dårlige fyre mulighed for at bruge projektet for selv at opdage åbne beslutningstagere."
For at kontrollere dit netværks IP-adresserum, forklarede Prince, starter du med din faktiske IP-adresse, som har formen AAA.BBB.CCC.DDD. "Tag DDD-delen, " sagde han, "og erstatt den med en 0. Tilføj derefter a / 24 til slutningen." Dette er den værdi, du overfører til Open Resolver Project.
Hvad angår min konklusion, at en tom søgning betyder, at du er i orden, advarede Prince, at det ikke er helt sandt. På din ene side, hvis dit netværk spænder over mere end 256 adresser "kontrollerer de muligvis ikke hele deres virksomhedsnetværk (et falsk negativt)." Han noterede sig, "På den anden side har de fleste små virksomheder og private brugere faktisk en allokering af IP'er, der er mindre end 24, så de vil faktisk kontrollere IP'er, som de ikke har kontrol over." Et ikke-OK resultat kan derefter være en falsk positiv.
Prince konkluderede, at denne kontrol muligvis kunne have nogen brugbarhed. "Bare sørg for at give alle de relevante advarsler, " sagde han, "så folk ikke får en falsk følelse af sikkerhed eller panik over deres nabos åbne resolver, som de ikke har kontrol over."
Et større problem
Jeg fik et ret anderledes syn fra Gur Shatz, administrerende direktør for webstedets sikkerhedsselskab Incapsula. "Til både godt og dårligt, " sagde Shatz, "det er let at opdage åbne opløsere. Gode fyre kan opdage og rette dem; dårlige fyre kan opdage og bruge dem. IPv4-adresseområdet er meget lille, så det er let at kortlægge og scanne det."
Shatz er ikke optimistisk med hensyn til at løse det åbne resolver-problem. ”Der er millioner af åbne beslutningstagere, ” bemærkede han. "Hvad er chancerne for at få dem alle lukket ned? Det vil være en langsom og smertefuld proces." Og selvom vi lykkes, er det ikke slutningen. "Andre amplifikationsangreb findes, " bemærkede Shatz. "DNS-reflektion er bare den nemmeste."
"Vi ser større og større angreb, " sagde Shatz, "selv uden forstærkning. En del af problemet er, at flere og flere brugere har bredbånd, så botnet kan bruge mere båndbredde." Men det største problem er anonymitet. Hvis hackere kan forfalske IP-adressen til oprindelsen, bliver angrebet ikke sporbart. Shatz bemærkede, at den eneste måde, vi kender CyberBunker som angriberen i SpamHaus-sagen, er, at en repræsentant for gruppen krævede kredit.
Et tretten år gammelt dokument kaldet BCP 38 staver klart en teknik til "Besejring af afslag på serviceangreb, der anvender IP Source Address Spoofing." Shatz bemærkede, at mindre udbydere måske ikke er opmærksomme på BCP 38, men alligevel kan en udbredt implementering "lukke forfalskning i kanterne, hvor fyrene faktisk udgiver IP-adresser."
Et højere niveau problem
Kontrol af din virksomheds DNS-resolver ved hjælp af den beskrevne teknik kunne ikke skade, men for en reel løsning har du brug for en revision af en netværksekspert, en person, der kan forstå og implementere alle nødvendige sikkerhedsforanstaltninger. Selvom du har en netværksekspert i huset, skal du ikke antage, at han allerede har taget sig af dette. IT-professionel Trevor Pott tilkendte i registeret, at hans egen DNS-resolver var blevet brugt i angrebet mod SpamHaus.
Én ting er sikker; de onde stopper ikke bare fordi vi lukker en bestemt type angreb. De skifter bare til en anden teknik. At rippe masken af, dog fjerne deres anonymitet, kan det faktisk gøre noget godt.
