セキュリティウォッチ あなたはゾンビですか? オープンDNSリゾルバを確認する方法

あなたはゾンビですか? オープンDNSリゾルバを確認する方法

ビデオ: ACQUAのじかん12月19日予告ムービー (十一月 2024)

ビデオ: ACQUAのじかん12月19日予告ムービー (十一月 2024)
Anonim

最近の国際的なスパム対策グループSpamHausに対する分散型サービス拒否攻撃は、DNSリフレクションと呼ばれる手法を使用して、SpamHausに大量のトラフィックを生成し、サーバーを過負荷にしました。 この手法は、不適切に構成された数千のDNSサーバーを使用してDDoS攻撃を増幅することに依存しており、この場合は数百倍になります。 見つけることがたくさんあります。 Open DNS Resolver Projectは、このようなサーバーを2500万台以上特定しています。 あなた(またはあなたの会社)はそれらの1つですか?

Security Watchの同僚であるFahmida Rashidの地下にはDNSリゾルバーがありますが、ほとんどのホームネットワークおよび小規模ビジネスネットワークでは、DNSはISPが提供するサービスの1つにすぎません。 問題が発生する可能性が高いのは、完全なネットワークインフラストラクチャを所有するのに十分な規模のビジネスですが、常勤のネットワーク管理者を抱えるには十分な規模ではありません。 このような会社で働いていた場合、DNSリゾルバーを調べて、ゾンビ軍に徴兵できないことを確認したいと思います。

私のDNSとは何ですか?

インターネット接続のプロパティを確認したり、コマンドプロンプトでIPCONFIG / ALLを入力したりしても、DNSサーバーのIPアドレスを特定できるとは限りません。 インターネット接続のTCP / IPプロパティでは、DNSサーバーアドレスを自動的に取得するように設定されている可能性が高く、IPCONFIG / ALLはおそらく192.168.1.254のような内部専用のNATアドレスを表示します。

少し検索すると、便利なWebサイトhttp://myresolver.infoが見つかりました。 このサイトにアクセスすると、DNSリゾルバーのアドレスとともにIPアドレスが報告されます。 この情報で武装して、私は計画を思いついた:

  • http://myresolver.infoにアクセスして、DNS再帰リゾルバーのIPアドレスを見つけます
  • 詳細については、IPアドレスの横にある{?}リンクをクリックしてください。
  • 結果のチャートでは、見出し「お知らせ」の下に1つ以上の住所があります(例:69.224.0.0/12)
  • これらの最初のものをクリップボードにコピーします
  • Open Resolver Project
  • 追加のアドレスについて繰り返します
  • 検索が空になる場合、あなたは大丈夫です

それともあなたですか?

サニティーチェック

私はせいぜいネットワーク専門家ですが、確かに専門家ではないので、CloudFlareのCEOであるマシュー・プリンスを過ぎて計画を実行しました。 彼は私の論理のいくつかの欠陥を指摘した。 プリンスは、私の最初のステップが「ISPによって実行されているリゾルバー、またはGoogleやOpenDNSのような誰かによって実行される」可能性が高いと指摘しました。 彼は代わりに、「ネットワークのIPアドレスが何であるかを把握し、その周りのスペースをチェックする」ことを提案しました。 myresolver.infoもIPアドレスを返すため、これは簡単です。 両方を確認できます。

価格は、ネットワーク上のクエリに使用されているアクティブなDNSリゾルバーがおそらく正しく構成されていることを指摘しました。 「オープンリゾルバは多くの場合PCで使用されているものではありません」と彼は言いましたが、他のサービスでは…これらは多くの場合、あまり使用されていないネットワークで実行される忘れられたインストールです」

彼はまた、Open Resolver Projectは各クエリでチェックされるアドレスの数を256に制限していることを指摘しました。これはIPアドレスの後にある「/ 24」の意味です。 プリンスは、「もっと受け入れると、悪人がオープンリゾルバ自身を発見するためにプロジェクトを使用できるようになる可能性がある」と指摘しました。

Princeの説明では、ネットワークのIPアドレス空間を確認するには、AAA.BBB.CCC.DDDという形式の実際のIPアドレスから始めます。 「DDDの部分を取り出して、0に置き換えます。最後に/ 24を追加します。」 これは、Open Resolver Projectに渡す値です。

私の結論として、空の検索はあなたが大丈夫であることを意味すると、プリンスはそれが全く真実ではないことを警告しました。 一方、ネットワークが256を超えるアドレスにまたがっている場合、「企業ネットワーク全体をチェックしていない可能性があります(誤検出)。」 「一方で、ほとんどの小規模企業や住宅ユーザーは実際には/ 24より小さいIPの割り当てを持っているので、彼らは制御できないIPを効果的にチェックします。」 したがって、OK以外の結果は、誤検知である可能性があります。

プリンスは、このチェックには何らかの有用性があると結論付けました。 「適切な注意をすべて払うようにしてください」と彼は言った。「人々は、自分がコントロールできない隣人のオープンリゾルバについて、誤った安心感やパニックを抱かないように。」

より大きな問題

ウェブサイトのセキュリティ会社IncapsulaのCEOであるGur Shatzからは、かなり異なった見解を得ました。 「善と悪の両方について、オープンリゾルバを検出するのは簡単です。善人はそれらを検出して修正できます。悪人はそれらを検出して使用できます。IPv4アドレス空間は非常に小さいため、マップとスキャンは簡単です。それ。"

Shatzは、オープンリゾルバーの問題を解決することについて楽観的ではありません。 「何百万ものオープンなリゾルバがあります」と彼は指摘しました。 「それらを すべて シャットダウンする可能性はありますか?それは時間がかかり、痛みを伴うプロセスになります。」 そして、たとえ成功したとしても、それで終わりではありません。 「他の増幅攻撃が存在します」とシャッツは指摘しました。 「DNSリフレクションは最も簡単です。」

「増幅がなくても、攻撃はますます大きくなっています。問題の一部は、より多くのユーザーがブロードバンドを使用しているため、ボットネットがより多くの帯域幅を使用できることです。」 しかし、最大の問題は匿名性です。 ハッカーが発信元IPアドレスをスプーフィングできる場合、攻撃は追跡できなくなります。 Shatzは、SpamHausのケースでCyber​​Bunkerを攻撃者として知っている唯一の方法は、グループの代表者が信用を主張しているということです。

BCP 38と呼ばれる13年前のドキュメントには、「IPソースアドレススプーフィングを使用するサービス拒否攻撃を阻止する」ための手法が明確に記載されています。 Shatzは、小規模なプロバイダーはBCP 38を認識していない可能性がありますが、広範な実装は「エッジでのなりすましを止め、実際にIPアドレスを提供する」可能性があると指摘しました。

高レベルの問題

私が説明した手法を使用して会社のDNSリゾルバーをチェックしても問題はありませんが、実際のソリューションには、必要なセキュリティ対策を理解して実装できるネットワーク専門家による監査が必要です。 社内にネットワークの専門家がいる場合でも、彼がすでにこの面倒を見ていると思い込まないでください。 ITプロフェッショナルのTrevor Pottは、The Registerで、自身のDNSリゾルバーがSpamHausに対する攻撃に使用されていたことを認めました。

1つ確かなことがあります。 特定の種類の攻撃をシャットダウンしたからといって、悪者たちが止まることはありません。 彼らは単に別のテクニックに切り替えます。 ただし、匿名性を取り除いてマスクを取り去る こと は、実際に何らかの効果 を もたらす可能性があります。

あなたはゾンビですか? オープンDNSリゾルバを確認する方法