Questo articolo evidenzia come vengono utilizzati risolutori DNS aperti per creare attacchi DDOS su Internet. Come posso identificare se uno dei nostri server DNS è aperto? Se trovo che stiamo eseguendo server DNS aperti, come dovrei chiuderli per evitare che vengano maltrattati per attacchi DDOS?
x.x.x.x = IP del server DNS
nmap -sU -p 53 -sV -P0 --script "dns-recursion" x.x.x.x
L'output possibile sarebbe:
VERSIONE SERVICE STATO PORTA
53 / udp open domain ISC BIND "versione"
* | _dns-ricorsione: la ricorsione sembra essere abilitata *
Se preferisci utilizzare i servizi online, il progetto openresolver è molto buono, controlla anche le sottoreti di / 22 larghezza, quindi dai un'occhiata --- > link
Dopo una scoperta del server Open DNS con strumenti online è una buona idea fare un doppio controllo per ottenere una dimostrazione sulla ricorsione --- > link
Esempio di output, guarda il "ra" flag significa ricorsione disponibile:
; < < > > DiG 9.7.3 < < > > @ x.x.x.x dominio.cn A
; (1 server trovato)
;; opzioni globali: + cmd
;; Risposta:
;; - > > HEADER < < - opcode: QUERY, stato: NOERROR, id: xxx
;; bandiere: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 0
DISABLING RECURSION
( fonte softwave conoscitore com )
Disabilita ricorsione in Windows Server 2003 e 2008
Access the DNS Manager from the Start menu:
Click the Start button.
Select Administrative Tools.
Select DNS.
Right click on the desired DNS Server in the Console Tree.
Select the Proprerties tab.
Click the Advanced button in the Server Options section.
Select the Disable Recursion checkbox.
Click the OK button.
Disabilita ricorsione in Linux
Locate the BIND configuration file within the operating system. The BIND configuration file is usually located in one of the following paths:
/etc/bind/named.conf
/etc/named.conf
Open the named.conf file in your preferred editor.
Add the following details to the Options section:
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
Restart the device.
Un server DNS aperto è uno che risponde a richieste DNS da chiunque per qualsiasi cosa. Come regola generale, i server DNS che esegui dovrebbero rispondere solo alle richieste che desideri.
In un'organizzazione tipica, ad esempio, desideri che le macchine all'interno della tua rete, come il tuo laptop, siano in grado di risolvere qualsiasi cosa, e la macchina fuori dalla tua rete sia in grado di risolvere solo i tuoi servizi pubblici, come il tuo server web e posta in arrivo. Certo, la tua organizzazione potrebbe non essere tipica.
Per identificare se i tuoi server DNS rispondono a richieste a cui non vuoi che siano, fai tali richieste e guarda cosa succede! Usando una macchina al di fuori della tua rete, punta una copia di scavare ai tuoi risolutori e prova a fare domande.
Per proteggere i tuoi server DNS, consulta la documentazione relativa al tuo particolare server DNS e configurali per fare ciò che vuoi.
Ci sono alcuni siti là fuori che scansionano internet per i risolutori DNS aperti e li pubblicano per aiutarli a rilevare e spegnere i risolutori. Eccone uno, puoi usarlo per cercare gli ip all'interno della tua rete che sono risolutori aperti:
Per quanto riguarda la sicurezza, è piuttosto semplice: limita i risolutori DNS per consentire solo le query all'interno della rete. Configura il DNS in modo che risponda solo alle query degli indirizzi all'interno della rete oppure utilizza le regole del filtro firewall / pacchetto per limitare l'accesso alla porta 53.
Team Cymru ha una guida qui: link
Assicurati di non filtrare i tuoi server dei nomi autorevoli, Internet deve raggiungere quelli per i tuoi domini affinché funzionino!