비디오: 맥(Mac) ìì´ë ê´ì°®ìâ¦ìë¡ê² ì ê·¸ë ì´ëëãì íTV Take 2ã를 ìê°í©ëë¤ (12 월 2024)
My Security Watch 동료 인 Fahmida Rashid는 지하실에 DNS 확인자를 가지고 있지만 대부분의 가정 및 소규모 비즈니스 네트워크에서 DNS는 ISP가 제공하는 또 다른 서비스 일뿐입니다. 문제가 발생할 가능성이 높은 곳은 완전한 네트워크 인프라를 보유 할 수있을만큼 크지 만 정규직 네트워크 관리자를 보유 할만큼 크지 않은 비즈니스입니다. 그런 회사에서 일했다면, DNS 리졸버가 좀비 군대에 징집 될 수 없는지 확인하고 싶습니다.
내 DNS는 무엇입니까?
인터넷 연결 속성을 확인하거나 명령 프롬프트에서 IPCONFIG / ALL을 입력한다고해서 반드시 DNS 서버의 IP 주소를 식별하는 데 도움이되는 것은 아닙니다. 인터넷 연결의 TCP / IP 속성에서 DNS 서버 주소를 자동으로 얻도록 설정되어 있고 IPCONFIG / ALL은 192.168.1.254와 같은 내부 전용 NAT 주소를 표시 할 가능성이 높습니다.
약간의 검색으로 편리한 웹 사이트 http://myresolver.info가 나타났습니다. 이 사이트를 방문하면 DNS 확인 자의 주소와 함께 IP 주소가보고됩니다. 이 정보로 무장 한 나는 계획을 세웠다.
- http://myresolver.info로 이동하여 DNS 재귀 해석기의 IP 주소를 찾으십시오.
- 자세한 내용을 보려면 IP 주소 옆의 {?} 링크를 클릭하십시오
- 결과 차트에서 "공지"제목 아래에 하나 이상의 주소가 있습니다 (예: 69.224.0.0/12).
- 이 중 첫 번째를 클립 보드에 복사
- Resolver Project http://openresolverproject.org/로 이동하여 주소를 상단 근처의 검색 창에 붙여 넣습니다.
- 추가 주소에 대해 반복
- 검색 결과가 비어 있으면 괜찮습니다.
아니면 당신은?
위생 검사
저는 전문가가 아닌 네트워크 전문가입니다. 따라서 CloudFlare의 CEO 인 Matthew Prince를지나 계획을 실행했습니다. 그는 내 논리에 몇 가지 결함이 있다고 지적했다. 프린스 (Prince)는 나의 첫 단계는 "ISP에 의해 실행되는 리졸버 나 구글이나 OpenDNS와 같은 누군가"를 반환 할 것이라고 말했다. 그는 대신 "네트워크의 IP 주소가 무엇인지 파악한 다음 주변의 공간을 확인할 수 있습니다"라고 제안했습니다. myresolver.info도 IP 주소를 반환하므로 충분합니다. 둘 다 확인할 수 있습니다.
가격은 네트워크에서 쿼리에 사용되는 활성 DNS 확인자가 올바르게 구성되었을 가능성이 있다고 지적했습니다. "개방 된 리졸버는 종종 PC에 사용되는 것이 아니라 다른 서비스에 사용됩니다. 네트워크에서 많이 사용되지 않는 곳에서 실행되는 잊혀진 설치입니다."
또한 Open Resolver Project는 각 쿼리로 확인 된 주소 수를 256 개로 제한한다고 지적했습니다. IP 주소 뒤의 "/ 24"가 의미합니다. 프린스는 "더 많은 것을 받아들이면 악의적 인 사람들이 프로젝트를 사용하여 공개 리졸버 자체를 발견 할 수있다"고 지적했다.
Prince의 설명에 따르면 네트워크의 IP 주소 공간을 확인하려면 AAA.BBB.CCC.DDD 형식의 실제 IP 주소로 시작하십시오. "DDD 부분을 가져 와서 0으로 바꾸십시오. 그런 다음 끝에 / 24를 추가하십시오." 이것이 Open Resolver Project에 전달할 값입니다.
내 결론에 관해서는, 빈 검색은 당신이 괜찮다는 것을 의미한다고 Prince는 그것이 사실이 아니라고 경고했다. 한편으로 네트워크가 256 개 이상의 주소에 걸쳐있는 경우 "전체 회사 네트워크를 확인하지 않을 수 있습니다 (거짓 부정)." "반면에, 대부분의 소규모 기업과 거주 사용자는 실제로 / 24보다 작은 IP 할당량을 가지므로, 제어 할 수없는 IP를 효과적으로 확인하게됩니다." OK가 아닌 결과는 오 탐지 일 수 있습니다.
프린스는이 점검이 유용 할 것이라고 결론 지었다. "그냥 모든 적절한 경고를 줘야한다. 그래서 사람들은 그들이 통제 할 수없는 이웃의 공개 결의에 대해 잘못된 보안 감각이나 공황을 느끼지 않는다"고 그는 말했다.
더 큰 문제
웹 사이트 보안 회사 인 Incapsula의 CEO 인 Gur Shatz와는 다소 다른 견해를 얻었습니다. Shatz는 "좋은 점과 나쁜 점 모두에 대해 개방형 리졸버를 쉽게 탐지 할 수 있습니다. 좋은 사람은이를 탐지하고 수정할 수 있습니다. 나쁜 사람은이를 탐지하여 사용할 수 있습니다. IPv4 주소 공간은 매우 작기 때문에 매핑하고 스캔하기가 쉽습니다. 그것."
Shatz는 공개 리졸버 문제를 해결하는 것에 대해 낙관적이지 않습니다. "수백만의 공개 리졸버가있다"고 그는 지적했다. "그들이 모두 폐쇄 될 가능성은 무엇인가? 그것은 느리고 고통스러운 과정이 될 것이다." 그리고 우리가 성공하더라도 그게 끝이 아닙니다. Shatz는“다른 증폭 공격이 존재한다. "DNS 반사는 가장 쉬운 방법입니다."
Shatz는 "우리는 증폭 없이도 점점 더 큰 공격을 겪고있다. 문제의 일부는 점점 더 많은 사용자가 광대역을 가지고 있기 때문에 봇넷은 더 많은 대역폭을 사용할 수있다"고 말했다. 그러나 가장 큰 문제는 익명 성입니다. 해커가 원래 IP 주소를 스푸핑 할 수 있으면 공격을 추적 할 수 없게됩니다. Shatz는 우리가 SpamHaus 사건에서 CyberBunker를 공격자로 알고있는 유일한 방법은 그룹의 대표가 신용을 주장하는 것이라고 지적했습니다.
BCP 38이라는 13 살짜리 문서는 "IP 소스 주소 스푸핑을 사용하는 서비스 거부 공격 방지"기술을 명확하게 설명합니다. Shatz는 소규모 공급 업체가 BCP 38을 알지 못할 수 있지만 널리 구현되어 "가장자리에서 스푸핑을 차단할 수 있으며 실제로 IP 주소를 제공하는 사용자"라고 지적했습니다.
더 높은 수준의 문제
위에서 설명한 기술을 사용하여 회사의 DNS 확인자를 확인해도 문제가되지는 않았지만 실제 솔루션의 경우 필요한 보안 조치를 이해하고 구현할 수있는 네트워크 전문가의 감사가 필요합니다. 사내 네트워크 전문가가 있어도 이미이 문제를 해결했다고 가정하지 마십시오. IT Professional Trevor Pott는 The Register에서 자신의 DNS 확인자가 SpamHaus에 대한 공격에 사용되었다고 자백했습니다.
한 가지는 확실합니다. 나쁜 놈들은 우리가 특정 유형의 공격을 차단한다고해서 멈추지 않습니다. 그들은 단지 다른 기술로 전환 할 것입니다. 그러나 마스크를 벗겨 내면 익명 성을 빼앗아 실제로 좋은 결과를 가져올 수 있습니다.