Vídeo: Показываю где взять датчик и светило! Гайд для новичков! Zombix online (De novembre 2024)
El seu company de seguretat Security Fahmida Rashid té un solucionador DNS al soterrani, però per a la majoria de les xarxes domèstiques i de petites empreses, el DNS és només un altre servei subministrat per l’ISP. Un lloc més probable per a problemes és un negoci prou gran com per tenir una infraestructura de xarxa completa, però no prou gran com per tenir un administrador de xarxa a temps complet. Si treballés en una empresa així, voldria revisar el meu solucionador DNS per assegurar-me que no es podia inscriure en un exèrcit de zombies.
Quin és el meu DNS?
Comprovar les propietats de la vostra connexió a Internet o introduir IPCONFIG / ALL en un sistema de comandaments no necessàriament us ajudarà a identificar l'adreça IP del vostre servidor DNS. És probable que a les propietats TCP / IP de la connexió d’Internet s’hagi d’obtenir una adreça del servidor DNS automàticament i IPCONFIG / ALL mostrarà una adreça NAT només interna com 192.168.1.254.
Una mica de cerca va aparèixer el útil lloc web http://myresolver.info. Quan visiteu aquest lloc, informa de la vostra adreça IP juntament amb l’adreça del solucionador DNS. Armat amb aquesta informació, vaig elaborar un pla:
- Vés a http://myresolver.info per trobar l’adreça IP del teu resoltiu recursiu DNS
- Feu clic a l’enllaç {?} Al costat de l’adreça IP per obtenir més informació
- Al gràfic resultant trobareu una o més adreces a l’epígraf "Anunci", per exemple, 69.224.0.0/12
- Copieu la primera d’aquestes al porta-retalls
- Desplaceu-vos a Open Project Resolver http://openresolverproject.org/ i enganxeu l'adreça al quadre de cerca que hi ha a la part superior.
- Repetiu les adreces addicionals
- Si la cerca es buida, esteu bé
O ets?
Control de sanejament
Jo, en el millor dels casos, sóc un diletant de la xarxa, certament no sóc un expert, de manera que vaig executar el meu pla després de Matthew Prince, director general de CloudFlare. Va assenyalar alguns defectes en la meva lògica. Príncep va assenyalar que el meu primer pas probablement tornarà "ja sigui el resolt gestionat pel seu ISP o algú com Google o OpenDNS". Va suggerir en canvi que es podria "esbrinar quina és la seva adreça IP de la xarxa i, a continuació, comprovar l'espai al voltant". Com que myresolver.info també retorna la vostra adreça IP, és bastant fàcil; podríeu comprovar tots dos.
Price va assenyalar que el resolver DNS actiu que s’utilitza per a consultes a la vostra xarxa és probablement configurat correctament. "Els resolvers oberts sovint no són els que s'utilitzen per a ordinadors", va dir, sinó per a altres serveis… Sovint se'ls oblida instal·lacions que funcionen en una xarxa en algun lloc que no s'utilitzen per a molt ".
També va assenyalar que el projecte Open Resolver limita el nombre d'adreces comprovades amb cada consulta a 256, això és el que significa "/ 24" després de l'adreça IP. Prince va assenyalar que "acceptar més podia permetre als nois fer servir el Projecte per tal de descobrir ells mateixos els gestors oberts".
Per comprovar l'espai d'adreces IP de la vostra xarxa, ha explicat Prince, comenceu amb la vostra adreça IP real, que té el formulari AAA.BBB.CCC.DDD. "Agafeu la part de DDD", va dir, "i substituïu-la per un 0. A continuació, afegiu un / 24 al final." Aquest és el valor que passareu al projecte Open Resolver.
Pel que fa a la meva conclusió, que una cerca buida vol dir que estàs bé, Prince va advertir que no és cert. D’una banda, si la vostra xarxa abasta més de 256 adreces "pot ser que no estiguin comprovant tota la xarxa corporativa (un fals negatiu)". A continuació, va assenyalar, "D'altra banda, la majoria de les empreses petites i els usuaris residencials tenen en realitat una assignació d'IP més petita que un / 24, de manera que comprovaran efectivament les IP sobre les quals no tenen cap control". Un resultat no correcte, doncs, podria ser un fals positiu.
Prince va concloure que aquest xec podria tenir certa utilitat. "Només heu d'assegurar-vos que doneu totes les advertències adequades", va dir, "de manera que la gent no tingui una falsa sensació de seguretat o pànic pel resolt obert del seu veí sobre el qual no té control".
Un problema més gran
Tenia una visió força diferent de Gur Shatz, director general de l’empresa Incapsula de seguretat del lloc web. "Tant per a bons com per a dolents", va dir Shatz, "és fàcil detectar resolutors oberts. Els nois bons poden detectar-los i arreglar-los; els dolents els poden detectar i utilitzar. L'espai d'adreces IPv4 és molt reduït, de manera que és fàcil de mapejar i escanejar."
Shatz no és optimista per resoldre el problema del resolvent obert. "Hi ha milions de resolts oberts", va assenyalar. "Quines són les possibilitats d'aconseguir que es tanquin totes ? Serà un procés lent i dolorós". I encara que ho aconseguim, aquest no és el final. "Existeixen altres atacs d'amplificació", va assenyalar Shatz. "La reflexió DNS és només la més senzilla".
"Estem veient atacs cada cop més grans", va dir Shatz, "fins i tot sense amplificació. Una part del problema és que cada vegada més usuaris tenen banda ampla, de manera que les botnets poden utilitzar més ample de banda". Però el problema més gran és l’anonimat. Si els pirates informàtics poden fer malbé l’adreça IP d’origen, l’atac es converteix en intratable. Shatz va assenyalar que l’única manera que coneixem a CyberBunker com a atacant en el cas SpamHaus és que un representant del grup reclamés crèdit.
Un document de tretze anys anomenat BCP 38 explica clarament una tècnica per "Derrotar els atacs de denegació de serveis que utilitzen el correu electrònic de l'adreça IP". Shatz va assenyalar que els proveïdors més petits potser desconeixen el BCP 38, tot i que una implementació generalitzada podria "tancar els danys a la vora, els nois donant adreces IP".
Un problema de nivell superior
Comprovar el problema de resolució de DNS de la vostra empresa mitjançant la tècnica que he descrit no podria fer mal, però per a una solució real, necessiteu una auditoria per part d’un expert de xarxa, algú que pugui comprendre i implementar les mesures de seguretat necessàries. Encara que tingueu un expert en xarxa a casa, no suposeu que ja s'ha encarregat d'això. El professional informàtic Trevor Pott va confessar al Registre que el seu propi solucionari DNS s’havia utilitzat en l’atac contra SpamHaus.
Una cosa és certa; els dolents no s’aturaran només perquè tanquem un tipus particular d’atac. Simplement canviaran a una altra tècnica. Deslligar-se de la màscara, però, traient-ne l'anonimat, en realitat podria fer algun bé.