هل أنت غيبوبة؟ كيفية التحقق من فتح حل DNS

استخدم هجوم "رفض الخدمة الموزع" الأخير ضد مجموعة SpamHaus الدولية لمكافحة الرسائل غير المرغوب فيها تقنية تسمى انعكاس DNS لتوليد كميات هائلة من حركة المرور لـ SpamHaus ، مما يؤدي إلى زيادة تحميل خوادمها. تعتمد هذه التقنية على استخدام الآلاف من خوادم DNS التي تم تكوينها بشكل غير صحيح لتضخيم هجوم DDoS ، في هذه الحالة بمعامل عدة مئات. هناك الكثير لتجده ؛ حدد مشروع Open DNS Resolver Project أكثر من 25 مليون من هذه الخوادم. هل لديك (أو شركتك) واحدة منها؟

زميلتي في Security Watch ، فهميدة راشد ، لديها محلل DNS في الطابق السفلي لها ، لكن بالنسبة لمعظم الشبكات المنزلية وشبكات الأعمال الصغيرة ، تعد DNS مجرد خدمة أخرى يقدمها مزود خدمة الإنترنت. النقطة الأكثر ترجيحًا للمشكلات هي وجود نشاط تجاري كبير بما يكفي ليصبح لديه بنية أساسية كاملة للشبكة ولكن ليس كبيرًا بما يكفي ليكون مسؤول شبكة يعمل بدوام كامل. إذا عملت في مثل هذه الشركة ، فأود التحقق من محلل DNS الخاص بي للتأكد من أنه لا يمكن تجنيده في جيش الزومبي.

ما هو DNS الخاص بي؟

إن فحص خصائص اتصال الإنترنت أو إدخال IPCONFIG / ALL في موجه الأوامر لن يساعدك بالضرورة في تحديد عنوان IP لخادم DNS الخاص بك. هناك احتمالات جيدة في خصائص TCP / IP الخاصة باتصال الإنترنت ، يتم تعيينها للحصول على عنوان خادم DNS تلقائيًا ، ومن المحتمل أن يعرض IPCONFIG / ALL عنوان NAT داخليًا فقط مثل 192.168.1.254.

ظهر القليل من البحث في موقع الويب المفيد http://myresolver.info. عندما تزور هذا الموقع ، فإنه يقدم عنوان IP الخاص بك إلى جانب عنوان محلل DNS الخاص بك. مسلحًا بهذه المعلومات ، توصلت إلى خطة:

• انتقل إلى http://myresolver.info للعثور على عنوان IP لمحلل DNS التكراري الخاص بك
• انقر على الرابط {؟} بجوار عنوان IP لمزيد من المعلومات
• في المخطط الناتج ، ستجد عنوانًا واحدًا أو أكثر تحت عنوان "إعلان" ، على سبيل المثال 69.224.0.0/12
• نسخ أول هذه إلى الحافظة
• انتقل إلى Open Resolver Project http://openresolverproject.org/ والصق العنوان في مربع البحث بالقرب من الأعلى.
• كرر أي عناوين إضافية
• إذا كان البحث فارغًا ، فأنت موافق

ام انك؟

الاختيار التعقل

أنا من أصحاب الشبكات في أحسن الأحوال ، وبالتأكيد لست خبيراً ، لذلك قمت بتشغيل خطتي الماضية من قبل Matthew Prince ، الرئيس التنفيذي لشركة CloudFlare. وأشار إلى بعض العيوب في منطقي. أشار برنس إلى أن خطوتي الأولى ستعود على الأرجح "إما محل الحل الذي يديره مزود خدمة الإنترنت أو شخص مثل جوجل أو OpenDNS." واقترح بدلاً من ذلك أن يقوم الشخص "باكتشاف عنوان IP لشبكتك ثم التحقق من المساحة المحيطة بذلك." نظرًا لأن myresolver.info يُرجع أيضًا عنوان IP الخاص بك ، فهذا سهل بما فيه الكفاية ؛ هل يمكن أن تحقق على حد سواء.

أشار Price إلى أن محلل DNS النشط الذي يتم استخدامه للاستعلامات على شبكتك من المحتمل أن يكون قد تم تكوينه بشكل صحيح. وقال "غالبًا ما لا تكون أدوات التحليل المفتوحة هي ما يتم استخدامه لأجهزة الكمبيوتر الشخصية ، ولكن بالنسبة للخدمات الأخرى… فهذه الأجهزة غالبًا ما يتم نسيانها وهي تعمل على شبكة لا يتم استخدامها كثيرًا."

كما أشار إلى أن مشروع Open Resolver Project يحد من عدد العناوين التي تم فحصها مع كل استعلام إلى 256 - وهذا ما يعنيه "/ 24" بعد عنوان IP. وأشار برنس إلى أن "قبول المزيد يمكن أن يسمح للأشرار باستخدام المشروع لاكتشاف الحلول المفتوحة بأنفسهم".

للتحقق من مساحة عنوان IP للشبكة الخاصة بك ، أوضح Prince ، عليك البدء بعنوان IP الفعلي الخاص بك ، والذي يحتوي على النموذج AAA.BBB.CCC.DDD. قال: "خذ جزء DDD ، واستبدله بصفر. ثم أضف / 24 إلى النهاية." هذه هي القيمة التي ستنقلها إلى Open Resolver Project.

بالنسبة لاستنتاجي ، أن البحث الفارغ يعني أنك موافق ، وحذر برنس من أنه ليس صحيحًا تمامًا. من ناحية ، إذا كانت شبكتك تمتد لأكثر من 256 عنوانًا "فقد لا يقومون بالتحقق من شبكة الشركة بالكامل (سلبية غير صحيحة)." وتابع قائلاً: "من ناحية أخرى ، لدى معظم الشركات الصغيرة والمستخدمين السكنيين فعليًا تخصيص عناوين IP أصغر من / 24 ، لذلك سيتحققون بشكل فعال من عناوين IP التي ليس لديهم أي سيطرة عليها." نتيجة غير موافق ، إذن ، يمكن أن تكون إيجابية كاذبة.

وخلص الأمير إلى أن هذا الفحص قد يكون له بعض الفائدة. وقال "فقط تأكد من إعطاء كل المحاذير المناسبة ، حتى لا يشعر الناس بشعور زائف بالأمان أو الذعر حيال محل الجيران المفتوح الذي لا يملكون أي سيطرة عليه".

مشكلة أكبر

حصلت على وجهة نظر مختلفة إلى حد ما من Gur Shatz ، الرئيس التنفيذي لشركة أمن الموقع Incapsula. وقال شاتز: "من الجيد والشر على حد سواء" ، من السهل اكتشاف المحللون المفتوحون. يمكن للاعبين الجيدين اكتشافها وإصلاحها ؛ يمكن للأشرار اكتشافها واستخدامها. مساحة عنوان IPv4 صغيرة جدًا ، لذا يسهل تعيينها ومسحها ضوئيًا ذلك ".

Shatz غير متفائل بشأن حل مشكلة محلل مفتوح. وأشار إلى أن "هناك الملايين من أصحاب الحلول المفتوحة". "ما هي فرص إغلاقها جميعًا ؟ ستكون عملية بطيئة ومؤلمة." وحتى لو نجحنا ، فهذه ليست النهاية. "توجد هجمات تضخيم أخرى" ، أشار شاتز. "إن انعكاس DNS هو الأسهل".

وقال شاتز "إننا نشهد هجمات أكبر وأكبر ، حتى دون تضخيمها. جزء من المشكلة هو أن عدداً متزايداً من المستخدمين لديهم النطاق العريض ، لذلك يمكن أن تستخدم شبكات الروبوتات نطاق ترددي أكبر." لكن المشكلة الأكبر هي عدم الكشف عن هويته. إذا تمكن المتسللون من خداع عنوان IP الأصلي ، فسيصبح الهجوم غير قابل للكشف. لاحظ Shatz أن الطريقة الوحيدة التي نعرف بها CyberBunker كمهاجم في قضية SpamHaus هي أن ممثل المجموعة قد ادعى الفضل في ذلك.

توضح وثيقة عمرها ثلاثة عشر عامًا تُسمى BCP 38 بوضوح تقنية "التغلب على هجمات رفض الخدمة التي تستخدم خداع عنوان مصدر IP." أشار شاتز إلى أن مقدمي الخدمات الأصغر قد يكونوا غير مدركين لـ BCP 38 ، ولكن التنفيذ على نطاق واسع يمكن أن "يغلق الخداع على الحواف ، فالرجال يعطون بالفعل عناوين IP".

مشكلة عالية المستوى

تعذر التحقق من حل DNS الخاص بشركتك باستخدام التقنية التي وصفتها ، ولكن للحصول على حل حقيقي ، تحتاج إلى مراجعة من قبل خبير شبكة ، شخص يمكنه فهم وتنفيذ أي تدابير أمنية ضرورية. حتى إذا كان لديك خبير شبكة في المنزل ، فلا تفترض أنه قد اعتنى بهذا بالفعل. اعترف محترفي تكنولوجيا المعلومات تريفور بوت في السجل بأن محلل DNS الخاص به قد استخدم في الهجوم على SpamHaus.

شيء واحد مؤكد؛ الأشرار لن يتوقفوا فقط لأننا أغلقنا نوعًا معينًا من الهجمات. سوف يتحولون فقط إلى تقنية أخرى. إن تمزيق القناع ، على الرغم من عدم الكشف عن هويته ، قد يؤدي ذلك إلى بعض الخير.