Cet article souligne comment les résolveurs DNS ouverts sont utilisés pour créer des attaques DDOS sur Internet. Comment savoir si l'un de nos serveurs DNS est ouvert? Si je constate que nous exécutons des serveurs DNS ouverts, comment pourrais-je les fermer pour éviter qu'ils ne soient utilisés abusivement pour des attaques DDOS?
x.x.x.x = IP du serveur DNS
nmap -sU -p 53 -sV -P0 --script "dns-recursion" x.x.x.x
La sortie possible serait:
VERSION DU SERVICE DE L'ÉTAT DU PORT
53/udp domaine ouvert ISC BIND "version"
* | _dns-recursion: La récursion semble être activée *
Si vous préférez utiliser les services en ligne, le projet openresolver est très bon, il vérifie également les sous-réseaux de largeur/22, alors vérifiez-le ---> http://www.openresolverproject.org
Après une découverte de serveur Open DNS avec des outils en ligne, c'est une bonne idée de faire une double vérification pour obtenir une preuve de récursivité ---> http://www.kloth.net/services/Dig.php
Exemple de sortie, regardez le drapeau "ra" signifie que la récursivité est disponible:
; << >> Dig 9.7.3 << >> @ x.x.x.x domain.cn A
; (1 serveur trouvé)
;; options globales: + cmd
;; J'ai une réponse:
;; - >> HEADER << - opcode: QUERY, status: NOERROR, id: xxx
;; drapeaux: qr rd ra; REQUÊTE: 1, RÉPONSE: 1, AUTORITÉ: 5, SUPPLÉMENTAIRE: 0
DÉSACTIVATION DE LA RÉCURSION
( source knowledgelayer softlayer com)
Désactiver la récursivité dans Windows Server 2003 et 2008
Access the DNS Manager from the Start menu:
Click the Start button.
Select Administrative Tools.
Select DNS.
Right click on the desired DNS Server in the Console Tree.
Select the Proprerties tab.
Click the Advanced button in the Server Options section.
Select the Disable Recursion checkbox.
Click the OK button.
Désactiver la récursivité sous Linux
Locate the BIND configuration file within the operating system. The BIND configuration file is usually located in one of the following paths:
/etc/bind/named.conf
/etc/named.conf
Open the named.conf file in your preferred editor.
Add the following details to the Options section:
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
Restart the device.
Un serveur DNS ouvert est celui qui répond aux demandes DNS de n'importe qui pour n'importe quoi. En règle générale, les serveurs DNS que vous exécutez ne doivent répondre qu'aux demandes que vous souhaitez.
Dans une organisation typique, par exemple, vous souhaitez que les machines à l'intérieur de votre réseau, telles que votre ordinateur portable, puissent résoudre n'importe quoi, et les machines à l'extérieur de votre réseau ne puissent résoudre que vos services accessibles au public, tels que votre serveur Web et le courrier entrant . Bien sûr, votre organisation n'est peut-être pas typique.
Pour savoir si vos serveurs DNS répondent à des demandes que vous ne voulez pas, faites de telles demandes et voyez ce qui se passe! En utilisant une machine en dehors de votre réseau, pointez une copie de Dig vers vos résolveurs et essayez d'interroger les choses.
Pour sécuriser vos serveurs DNS, consultez la documentation de votre marque particulière de serveur DNS et configurez-les pour faire ce que vous voulez.
Il existe quelques sites qui recherchent sur Internet des résolveurs DNS ouverts et en publient des listes pour aider les FAI à détecter et à arrêter les résolveurs. En voici un, vous pouvez l'utiliser pour rechercher des IP dans votre réseau qui sont des résolveurs ouverts:
Quant à les sécuriser, c'est assez simple - restreignez simplement les résolveurs DNS pour n'autoriser que les requêtes à l'intérieur de votre réseau. Vous pouvez soit configurer le DNS pour répondre uniquement aux requêtes provenant d'adresses situées à l'intérieur de votre réseau, soit utiliser des règles de filtrage de pare-feu/paquets pour restreindre l'accès au port 53.
L'équipe Cymru a un guide ici: http://www.team-cymru.org/Services/Resolvers/instructions.html
Assurez-vous simplement de ne pas filtrer vos serveurs de noms faisant autorité, Internet doit les atteindre pour que vos domaines fonctionnent!