Es-tu un zombie? comment vérifier les résolveurs DNS ouverts

La récente attaque par déni de service distribué contre le groupe international de lutte contre le spam SpamHaus a utilisé une technique appelée réflexion DNS pour générer une énorme quantité de trafic pour SpamHaus, surchargeant leurs serveurs. Cette technique repose sur l'utilisation de milliers de serveurs DNS mal configurés pour amplifier l'attaque DDoS, dans ce cas par un facteur de plusieurs centaines. Il y a beaucoup à trouver; le projet Open DNS Resolver a identifié plus de 25 millions de serveurs de ce type. Le vôtre (ou celui de votre entreprise) est-il l'un d'entre eux?

Ma collègue de Security Watch, Fahmida Rashid, a un résolveur DNS dans son sous-sol, mais pour la plupart des réseaux domestiques et de petite entreprise, le DNS n’est qu’un autre service fourni par le FAI. Un problème plus probable de problèmes est une entreprise suffisamment grande pour avoir sa propre infrastructure de réseau complète mais pas assez grande pour avoir un administrateur de réseau à temps plein. Si je travaillais dans une telle entreprise, je voudrais vérifier mon résolveur DNS pour m'assurer qu'il ne pourrait pas être conscrit dans une armée de zombies.

Quel est mon DNS?

Vérifier les propriétés de votre connexion Internet ou saisir IPCONFIG / ALL à l’invite de commande ne vous aidera pas nécessairement à identifier l’adresse IP de votre serveur DNS. Il est fort probable que, dans les propriétés TCP / IP de la connexion Internet, celui-ci soit configuré pour obtenir automatiquement une adresse de serveur DNS, et IPCONFIG / ALL affichera probablement une adresse NAT interne uniquement, telle que 192.168.1.254.

Une petite recherche a permis de trouver le site Web très pratique http://myresolver.info. Lorsque vous visitez ce site, il indique votre adresse IP ainsi que l'adresse de votre résolveur DNS. Armé de cette information, j'ai élaboré un plan:

• Allez sur http://myresolver.info pour trouver l'adresse IP de votre résolveur récursif DNS
• Cliquez sur le lien {?} En regard de l'adresse IP pour plus d'informations.
• Dans le tableau obtenu, vous trouverez une ou plusieurs adresses sous le titre "Annonce", par exemple 69.224.0.0/12.
• Copier le premier de ceux-ci dans le presse-papier
• Naviguez jusqu'à Open Resolver Project http://openresolverproject.org/ et collez l'adresse dans le champ de recherche situé en haut.
• Répétez pour toutes les adresses supplémentaires
• Si la recherche est vide, tout va bien.

Ou es-tu?

Verification sanitaire

Au mieux, je suis un dilettante du réseau, certainement pas un expert, alors j’ai passé mon plan à la place de Matthew Prince, PDG de CloudFlare. Il a souligné quelques failles dans ma logique. Prince a fait remarquer que ma première étape renverrait probablement "le résolveur géré par son fournisseur d’accès Internet ou par une personne comme Google ou OpenDNS". Il a suggéré à la place que l'on puisse "déterminer l'adresse IP de votre réseau, puis vérifier l'espace autour de cela". Puisque myresolver.info renvoie également votre adresse IP, c'est assez simple. vous pouvez vérifier les deux.

Price a souligné que le résolveur DNS actif utilisé pour les requêtes sur votre réseau est probablement configuré correctement. "Les résolveurs ouverts ne sont souvent pas ce qui est utilisé pour les PC", a-t-il déclaré, mais pour les autres services (…). Ce sont des installations oubliées exécutées sur un réseau qui ne sont pas utilisées à bon escient."

Il a également souligné que le projet Open Resolver limitait le nombre d'adresses vérifiées avec chaque requête à 256, ce qui signifie "/ 24" après l'adresse IP. Prince a souligné qu '"accepter plus pourrait permettre aux méchants d'utiliser le projet afin de découvrir les résolveurs ouverts eux-mêmes".

Pour vérifier l'espace d'adressage IP de votre réseau, a expliqué Prince, commencez par votre adresse IP actuelle, qui se présente sous la forme AAA.BBB.CCC.DDD. "Prenez la partie DDD, " dit-il, "et remplacez-la par un 0. Ajoutez ensuite un / 24 à la fin." C'est la valeur que vous transmettez au projet Open Resolver.

En ce qui concerne ma conclusion, une recherche vide signifie que tout va bien, Prince a averti que ce n'était pas tout à fait vrai. D'une part, si votre réseau couvre plus de 256 adresses, "ils ne vérifient peut-être pas tout leur réseau d'entreprise (faux négatif)". "D'autre part, la plupart des petites entreprises et des utilisateurs résidentiels ont en réalité une allocation d'adresses IP plus petite qu'un / 24, ils vont donc vérifier les adresses sur lesquelles ils n'ont aucun contrôle." Un résultat non-OK pourrait alors être un faux positif.

Prince a conclu que cette vérification pourrait avoir une certaine utilité. "Assurez-vous simplement de donner toutes les mises en garde appropriées", a-t-il déclaré, "afin que les gens n'obtiennent pas un faux sentiment de sécurité ou de panique au sujet du résolveur ouvert de leur voisin sur lequel ils n'ont aucun contrôle."

Un plus gros problème

Gur Shatz, PDG de la société de sécurité de sites Web Incapsula, a un point de vue plutôt différent. "Pour les bons comme pour les mauvais", a déclaré Shatz, "il est facile de détecter les résolveurs ouverts. Les bons peuvent les détecter et les corriger; les méchants peuvent les détecter et les utiliser. L'espace d'adresses IPv4 est très petit, il est donc facile de les cartographier et les analyser. il."

Shatz n'est pas optimiste quant à la résolution du problème du résolveur ouvert. "Il y a des millions de résolveurs ouverts", a-t-il noté. "Quelles sont les chances de les faire tous fermer? Ce sera un processus lent et douloureux." Et même si nous réussissons, ce n'est pas la fin. "Il existe d'autres attaques d'amplification", a noté Shatz. "La réflexion DNS est tout simplement la plus facile."

"Nous assistons à des attaques de plus en plus importantes", a déclaré Shatz, "même sans amplification. Le problème tient en partie au fait que de plus en plus d'utilisateurs utilisent le haut débit, ce qui permet aux réseaux de zombies d'utiliser davantage de bande passante." Mais le plus gros problème est l'anonymat. Si les pirates peuvent usurper l'adresse IP d'origine, l'attaque devient introuvable. Shatz a fait remarquer que la seule manière de faire de CyberBunker l'attaquant dans l'affaire SpamHaus est qu'un représentant du groupe ait revendiqué un crédit.

Un document datant de treize ans, appelé BCP 38, énonce clairement une technique pour "Vaincre les attaques par déni de service qui emploient une usurpation d'adresse IP source". Shatz a fait remarquer que les petits fournisseurs ignoraient peut-être le BCP 38, alors qu'une mise en œuvre généralisée pourrait "mettre un terme à l'usurpation d'identité sur les bords, les gars donnant en fait des adresses IP".

Un problème de plus haut niveau

Vérifier le résolveur DNS de votre entreprise à l'aide de la technique que j'ai décrite ne peut faire de mal, mais pour une solution réelle, vous avez besoin d'un audit effectué par un expert du réseau, une personne pouvant comprendre et mettre en œuvre les mesures de sécurité nécessaires. Même si vous avez un expert réseau en interne, ne supposez pas qu'il s'en soit déjà occupé. Le professionnel de l'informatique Trevor Pott a avoué dans The Register que son propre résolveur DNS avait été utilisé lors de l'attaque contre SpamHaus.

Une chose est sûre; les méchants ne s'arrêteront pas simplement parce que nous avons arrêté un type d'attaque particulier. Ils vont simplement passer à une autre technique. Arracher le masque, cependant, en enlevant leur anonymat, cela pourrait en fait faire du bien.