你是僵尸吗？ 如何检查开放的DNS解析器

最近针对国际反垃圾邮件组织SpamHaus的分布式拒绝服务攻击使用了一种称为DNS反射的技术来为SpamHaus生成大量流量，从而使服务器超载。 该技术依赖于使用数千个配置不当的DNS服务器来放大DDoS攻击，在这种情况下，放大幅度为数百倍。 有很多东西可以找到； 开放DNS解析器项目已经确定了超过2500万台此类服务器。 您（或您的公司）是其中之一吗？

我的Security Watch同事Fahmida Rashid在她的地下室里有一个DNS解析器，但是对于大多数家庭和小型企业网络而言，DNS只是ISP提供的另一项服务。 最有可能出现问题的地方是，一个业务足够大，可以拥有自己完整的网络基础结构，但又不够大，不能拥有一个专职的网络管理员。 如果我在这样的公司工作，我想检查一下我的DNS解析器，以确保它不会被招募为僵尸军队。

什么是我的DNS？

检查Internet连接属性或在命令提示符下输入IPCONFIG / ALL不一定会帮助您识别DNS服务器的IP地址。 很有可能在Internet连接的TCP / IP属性中将其设置为自动获取DNS服务器地址，而IPCONFIG / ALL可能会显示仅内部的NAT地址，例如192.168.1.254。

稍作搜索便找到了方便的网站http://myresolver.info。 当您访问该站点时，它将报告您的IP地址以及DNS解析器的地址。 有了这些信息，我想到了一个计划：

• 转到http://myresolver.info查找您的DNS递归解析器的IP地址
• 点击IP地址旁边的{？}链接以获取更多信息
• 在结果图表中，您会在“公告”标题下找到一个或多个地址，例如69.224.0.0/12
• 将第一个复制到剪贴板
• 导航到Open Resolver Project
• 重复任何其他地址
• 如果搜索为空，则可以

还是你

完整性检查

我充其量是一名网络传播专家，当然不是专家，所以我将计划交给了CloudFlare首席执行官Matthew Prince。 他指出了我逻辑上的一些缺陷。 普林斯指出，我的第一步可能会返回“由他们的ISP或Google或OpenDNS之类的解析器运行”。 相反，他建议人们“确定网络的IP地址是什么，然后检查周围的空间”。 由于myresolver.info也返回您的IP地址，因此非常简单； 您可以同时检查两者。

Price指出，用于网络查询的活动DNS解析器很可能已正确配置。 他说：“开放式解析器通常不是用于PC的东西，而是用于其他服务的……这些东西通常被忘记了在不常用的网络上运行的安装。”

他还指出，Open Resolver Project将每个查询所检查的地址数限制为256个，也就是IP地址后面的“ / 24”。 普林斯指出，“接受更多可能会使坏人利用该项目来发现开放的解决者。”

王子解释说，要检查网络的IP地址空间，请从实际IP地址开始，该地址的格式为AAA.BBB.CCC.DDD。 他说：“取DDD部分，然后将其替换为0。然后在末尾添加/ 24。” 这是您将传递给Open Resolver Project的值。

至于我的结论，空的搜索意味着您还可以，普林斯警告说，事实并非如此。 一方面，如果您的网络跨越256个以上的地址，则“它们可能没有检查其整个公司网络（错误否定）。” 他继续指出：“另一方面，大多数小型企业和住宅用户实际上分配的IP小于/ 24，因此他们将有效地检查不受控制的IP。” 因此，不合格的结果可能是假阳性。

普林斯得出结论，这项检查可能有用。 他说：“只要确保您给出所有适当的警告，就可以使人们不会对自己无法控制的邻居的开放式解决方案产生错误的安全感或恐慌。”

一个更大的问题

我与网站安全公司Incapsula首席执行官Gur Shatz的看法截然不同。 Shatz说：“无论好坏，检测开放解析器都很容易。好人可以检测并修复它们；坏人可以检测并使用它们。IPv4地址空间非常小，因此映射和扫描都很容易它。”

Shatz对解决开放式解决方案问题并不乐观。 他指出：“有数以百万计的开放式解决方案。” “将它们 全部 关闭的机会是什么？这将是一个缓慢而痛苦的过程。” 即使我们成功了，但这还不是终点。 Shatz指出：“还存在其他放大攻击。” “ DNS反射是最简单的。”

Shatz说：“我们看到的攻击越来越大，甚至没有放大。部分问题是越来越多的用户拥有宽带，因此僵尸网络可以使用更多的带宽。” 但是最大的问题是匿名性。 如果黑客可以欺骗原始IP地址，则攻击将变得不可追踪。 Shatz指出，我们知道Cyber​​Bunker成为SpamHaus案的攻击者的唯一方法是该组织的一名代表声称拥有信誉。

一份十三岁的名为BCP 38的文档清楚地阐明了一种“对使用IP源地址欺骗的拒绝服务攻击进行宣告的技术”。 Shatz指出，较小的提供商可能并不了解BCP 38，但是广泛的实施可能会“关闭边缘的欺骗，这些家伙实际上是在提供IP地址”。

更高层次的问题

使用我描述的技术检查公司的DNS解析器不会有什么坏处，但是对于真正的解决方案，您需要网络专家的审核，该专家可以理解和实施任何必要的安全措施。 即使您确实有网络专家，也不要以为他已经照顾好了。 IT专业人员Trevor Pott在The Register中承认，他自己的DNS解析器已用于攻击SpamHaus。

一件事是肯定的； 坏人不会仅仅因为我们关闭了特定类型的攻击就停止了攻击。 他们只是切换到另一种技术。 但是，撕掉面具，消除他们的匿名性，实际上可能会有所帮助。