Video: СЕТЬ МАГАЗИНОВ БЫТОВОЙ ТЕХНИКИ DNS - НАМ НЕ ДРУГ. ПОКУПАЮ БЛЕНДЕР. (Decembris 2024)
Manas Security Watch kolēģes Fahmida Rashid pagrabā ir DNS risinātājs, taču lielākajai daļai mājas un mazo uzņēmumu tīklu DNS ir tikai vēl viens ISP sniegts pakalpojums. Visticamāk, problēmu rašanās vieta ir pietiekami liela uzņēmējdarbība, lai tai būtu sava pilnīga tīkla infrastruktūra, bet ne tik liela, lai būtu pilna laika tīkla administrators. Ja es strādātu šādā uzņēmumā, es gribētu pārbaudīt savu DNS atrisinātāju, lai pārliecinātos, ka to nevar iesaukt zombiju armijā.
Kāds ir mans DNS?
Interneta savienojuma īpašību pārbaude vai IPCONFIG / ALL ievadīšana komandu uzvednē ne vienmēr palīdzēs identificēt DNS servera IP adresi. Ir lielas iespējas, ka interneta savienojuma TCP / IP īpašībās ir iestatīts automātiski iegūt DNS servera adresi, un IPCONFIG / ALL, iespējams, parādīs tikai iekšējai NAT adresi, piemēram, 192.168.1.254.
Neliela meklēšana parādīja parocīgo vietni http://myresolver.info. Kad jūs apmeklējat šo vietni, tajā tiek paziņota jūsu IP adrese kopā ar jūsu DNS atrisinātāja adresi. Bruņojoties ar šo informāciju, es nācu klajā ar plānu:
- Dodieties uz vietni http://myresolver.info, lai atrastu sava DNS rekursīvā risinātāja IP adresi
- Lai iegūtu vairāk informācijas, noklikšķiniet uz saites {?} Blakus IP adresei
- Iegūtajā diagrammā zem virsraksta "Paziņojums" jūs atradīsit vienu vai vairākas adreses, piemēram, 69.224.0.0/12
- Kopējiet pirmo no tiem starpliktuvē
- Dodieties uz Open Resolver Project http://openresolverproject.org/ un ielīmējiet adresi meklēšanas lodziņā augšpusē.
- Atkārtojiet visas papildu adreses
- Ja meklēšana ir tukša, jums viss kārtībā
Vai jūs esat?
Saprāta pārbaude
Labākajā gadījumā esmu tīkla diletants, noteikti neesmu eksperts, tāpēc es savu plānu vadīju garām Metjū Princam, CloudFlare izpilddirektoram. Viņš norādīja uz dažiem trūkumiem manā loģikā. Prinss atzīmēja, ka mans pirmais solis, visticamāk, atgriezīsies "vai nu tā ISP vadītajā risinātājā, vai arī kādam citam, piemēram, Google vai OpenDNS." Tā vietā viņš ieteica, ka kāds varētu "izdomāt, kāda ir jūsu tīkla IP adrese, un pēc tam pārbaudīt vietu ap to." Tā kā myresolver.info atdod arī jūsu IP adresi, tas ir pietiekami vienkārši; jūs varētu pārbaudīt abus.
Price norādīja, ka, visticamāk, jūsu tīklā vaicājumiem izmantotais aktīvais DNS atrisinātājs, visticamāk, ir pareizi konfigurēts. "Atvērtie izšķirtspējas bieži vien nav tie, kas tiek izmantoti personālajiem datoriem, " viņš teica, bet citiem pakalpojumiem… Šīs bieži tiek aizmirstas instalācijas, kas darbojas tīklā, kur kaut kur netiek daudz izmantotas."
Viņš arī norādīja, ka Open Resolver Project ierobežo ar katru vaicājumu pārbaudīto adrešu skaitu līdz 256 - tas ir tas, ko nozīmē “24” aiz IP adreses. Prinss norādīja, ka, "pieņemot vairāk, ļaut sliktajiem puišiem izmantot Projektu, lai paši atklātu atklātu risinātāju".
Paskaidroja Princis, lai pārbaudītu tīkla IP adreses vietu, jūs sākat ar savu faktisko IP adresi, kuras forma ir AAA.BBB.CCC.DDD. "Paņemiet DDD daļu, " viņš teica, "un nomainiet to ar 0. Pēc tam pievienojiet / 24 beigām." Šī ir vērtība, kuru piešķirsit projektam Open Resolver.
Kas attiecas uz manu secinājumu, ka tukša meklēšana nozīmē, ka viss ir kārtībā, Prinss brīdināja, ka tā nav gluži taisnība. No vienas puses, ja jūsu tīkls aptver vairāk nekā 256 adreses, "iespējams, ka viņi nepārbauda visu korporatīvo tīklu (viltus negatīvs)." Viņš turpināja atzīmēt: "No otras puses, lielākajai daļai mazo uzņēmumu un privātpersonu IP ir mazāks par / 24 IP piešķīrums, tāpēc viņi faktiski pārbaudīs IP, kuru pārziņā viņiem nav nekādas kontroles." Rezultāts, kas nav pareizs, varētu būt kļūdaini pozitīvs.
Prinss secināja, ka šai pārbaudei varētu būt kāda noderība. "Tikai pārliecinieties, ka jūs sniedzat visus atbilstošos brīdinājumus, " viņš teica, "lai cilvēki nesaņemtu nepatiesu drošības sajūtu vai paniku par kaimiņu atklāto izlēmēju, kuru viņi nekontrolē."
Lielāka problēma
Man radās diezgan atšķirīgs viedoklis no vietņu drošības uzņēmuma Incapsula izpilddirektora Gura Šataza. "Gan labiem, gan sliktiem, " sacīja Šats, "ir viegli atklāt atvērtos izšķirtspējas. Labi puiši tos var atklāt un labot; sliktie puiši tos var atklāt un izmantot. IPv4 adrešu telpa ir ļoti maza, tāpēc to ir viegli kartēt un skenēt. to."
Šats nav optimistisks par atvērtā risinātāja problēmas risināšanu. "Ir miljoniem atklātu rezolūciju, " viņš atzīmēja. "Kādas ir iespējas viņus visus izslēgt? Tas būs lēns un sāpīgs process." Un pat ja mums tas izdodas, tas vēl nav beigas. "Pastāv arī citi pastiprināšanas uzbrukumi, " atzīmēja Šats. "DNS atspoguļojums ir tikai vieglākais."
"Mēs redzam lielākus un lielākus uzbrukumus, " sacīja Šats, "pat bez pastiprināšanas. Daļa no problēmas ir tā, ka arvien vairāk lietotājiem ir platjoslas pakalpojumi, tāpēc robottīkli var izmantot lielāku joslas platumu." Bet lielākā problēma ir anonimitāte. Ja hakeri var sabojāt izcelsmes IP adresi, uzbrukums kļūst neizsekojams. Šats atzīmēja, ka vienīgais veids, kā mēs zinām CyberBunker kā uzbrucēju SpamHaus lietā, ir tas, ka grupas pārstāvis pieprasīja kredītu.
Trīspadsmit gadus vecajā dokumentā, ko sauc par BCP 38, ir skaidri aprakstīts paņēmiens "Pakalpojumu uzbrukumu noraidīšanas novēršana, kuri izmanto IP avota adreses izlikšanu". Šats atzīmēja, ka mazāki pakalpojumu sniedzēji, iespējams, nezina par BCP 38, tomēr plaša ieviešana varētu "slēgt šmaukšanu malās, puiši faktiski izdalot IP adreses".
Augstāka līmeņa problēma
Pārbaudot sava uzņēmuma DNS atrisinātāju, izmantojot manis aprakstīto paņēmienu, nekas nesanāca, taču, lai iegūtu reālu risinājumu, jums ir jāveic tīkla eksperta - personas, kas saprot un ievieš visus nepieciešamos drošības pasākumus, audits. Pat ja jums ir tīkla eksperts mājā, neuzņemieties, ka viņš par to jau ir parūpējies. IT profesionālis Trevors Potts žurnālā The Registre atzina, ka uzbrukumā pret SpamHaus ir izmantots viņa paša izveidots DNS izšķirtspēja.
Viena lieta ir skaidra; sliktie puiši neapstāsies tikai tāpēc, ka mēs slēgsim noteikta veida uzbrukumus. Viņi vienkārši pāries uz citu tehniku. Nomontējot masku, atņemot to anonimitāti, tas tomēr varētu dot labu.
