Vídeo: Erro WS-37397-9 - SOLUÇÃO (NET/VIVO/OI/ETC) e o que a Sony não te conta! - LEIA A DESCRIÇÃO (Outubro 2024)
A colega do My Security Watch, Fahmida Rashid, tem um resolvedor de DNS em seu porão, mas para a maioria das redes domésticas e de pequenas empresas, o DNS é apenas outro serviço fornecido pelo ISP. Um ponto mais provável para problemas é uma empresa grande o suficiente para ter sua própria infraestrutura de rede completa, mas não grande o suficiente para ter um administrador de rede em período integral. Se eu trabalhasse em uma empresa assim, gostaria de verificar meu resolvedor de DNS para garantir que não pudesse ser recrutado em um exército de zumbis.
Qual é o meu DNS?
Verificar as propriedades da sua conexão com a Internet ou inserir IPCONFIG / ALL em um prompt de comando não ajudará necessariamente a identificar o endereço IP do seu servidor DNS. É provável que nas propriedades TCP / IP da conexão com a Internet esteja definido para obter um endereço de servidor DNS automaticamente, e o IPCONFIG / ALL provavelmente mostre um endereço NAT somente interno como 192.168.1.254.
Uma pequena pesquisa apareceu no site acessível http://myresolver.info. Quando você visita este site, ele informa o seu endereço IP, juntamente com o endereço do seu resolvedor DNS. Armado com essas informações, criei um plano:
- Vá para http://myresolver.info para encontrar o endereço IP do seu resolvedor recursivo DNS
- Clique no link {?} Ao lado do endereço IP para obter mais informações
- No gráfico resultante, você encontrará um ou mais endereços sob o cabeçalho "Anúncio", por exemplo, 69.224.0.0/12
- Copie o primeiro deles para a área de transferência
- Navegue para Open Resolver Project http://openresolverproject.org/ e cole o endereço na caixa de pesquisa na parte superior.
- Repita o procedimento para quaisquer endereços adicionais
- Se a pesquisa aparecer vazia, você está bem
Ou você está?
Verificação de sanidade
Eu sou um diletante de rede, na melhor das hipóteses, certamente não sou um especialista, então passei meu plano com Matthew Prince, CEO da CloudFlare. Ele apontou algumas falhas na minha lógica. Prince observou que meu primeiro passo provavelmente retornará "ao resolvedor executado pelo provedor de serviços de Internet ou por alguém como Google ou OpenDNS". Ele sugeriu que alguém pudesse "descobrir qual é o endereço IP da sua rede e depois verificar o espaço em torno disso". Como o myresolver.info também retorna seu endereço IP, isso é fácil; você pode verificar os dois.
Price apontou que o resolvedor DNS ativo usado para consultas na sua rede provavelmente está configurado corretamente. "Os resolvedores abertos geralmente não são o que estão sendo usados para PCs", disse ele, mas para outros serviços… Essas são instalações esquecidas, executadas em uma rede em algum lugar que não são usadas por muito tempo ".
Ele também apontou que o Open Resolver Project limita o número de endereços verificados em cada consulta a 256 - é isso que significa "/ 24" após o endereço IP. Prince destacou que "aceitar mais poderia permitir que bandidos usassem o projeto para descobrir os próprios resolvedores abertos".
Para verificar o espaço do endereço IP da sua rede, explicou Prince, você começa com o seu endereço IP real, que tem o formato AAA.BBB.CCC.DDD. "Pegue a parte do DDD", disse ele, "e substitua-a por um 0. Em seguida, adicione / 24 ao final." Esse é o valor que você passará para o Open Resolver Project.
Quanto à minha conclusão, que uma pesquisa vazia significa que você está bem, Prince alertou que não é bem verdade. Por um lado, se sua rede abrange mais de 256 endereços "eles podem não estar verificando toda a rede corporativa (um falso negativo)". Ele continuou observando: "Por outro lado, a maioria das pequenas empresas e usuários residenciais realmente tem uma alocação de IPs menor que a / 24; portanto, eles efetivamente verificarão IPs sobre os quais não têm controle". Um resultado não aprovado, então, pode ser um falso positivo.
Prince concluiu que essa verificação pode ter alguma utilidade. "Apenas certifique-se de dar todas as advertências apropriadas", disse ele, "para que as pessoas não tenham uma falsa sensação de segurança ou entrem em pânico com o resolvedor aberto do vizinho, sobre o qual não têm controle".
Um Problema Maior
Eu tenho uma visão bastante diferente de Gur Shatz, CEO da empresa de segurança do site Incapsula. "Tanto para os bons quanto para os ruins", disse Shatz, "é fácil detectar resolvedores abertos. Os caras bons podem detectá-los e corrigi-los; os caras maus podem detectá-los e usá-los. O espaço de endereço IPv4 é muito pequeno, portanto é fácil mapear e digitalizar isto."
Shatz não está otimista em resolver o problema do resolvedor aberto. "Existem milhões de resolvedores abertos", observou ele. "Quais são as chances de fechar todos eles? Será um processo lento e doloroso". E mesmo se tivermos sucesso, esse não é o fim. "Existem outros ataques de amplificação", observou Shatz. "A reflexão do DNS é apenas a mais fácil."
"Estamos vendo ataques cada vez maiores", disse Shatz, "mesmo sem amplificação. Parte do problema é que mais e mais usuários têm banda larga, para que as redes de bots possam usar mais largura de banda". Mas o maior problema é o anonimato. Se os hackers puderem falsificar o endereço IP de origem, o ataque se tornará não rastreável. Shatz observou que a única maneira de conhecermos o CyberBunker como o atacante no caso SpamHaus é que um representante do grupo reivindicou crédito.
Um documento de 13 anos chamado BCP 38 explicita claramente uma técnica para "Derrotar ataques de negação de serviço que empregam falsificação de endereços de origem IP". Shatz observou que provedores menores podem desconhecer o BCP 38, mas a implementação generalizada pode "diminuir a falsificação nas bordas, os caras realmente fornecendo endereços IP".
Um problema de nível superior
Verificar o resolvedor de DNS da sua empresa usando a técnica que descrevi não prejudicou, mas para uma solução real, você precisa de uma auditoria de um especialista em rede, alguém que possa entender e implementar as medidas de segurança necessárias. Mesmo se você tiver um especialista em rede em casa, não assuma que ele já cuidou disso. O profissional de TI Trevor Pott confessou no The Register que seu próprio resolvedor de DNS havia sido usado no ataque contra o SpamHaus.
Uma coisa é certa; os bandidos não param só porque encerramos um tipo específico de ataque. Eles vão mudar para outra técnica. Rasgando a máscara, no entanto, tirando o anonimato, isso pode realmente fazer algum bem.
