web-dev-qa-db-fra.com

Comment identifier les résolveurs DNS ouverts sur mon réseau?

Cet article souligne comment les résolveurs DNS ouverts sont utilisés pour créer des attaques DDOS sur Internet. Comment savoir si l'un de nos serveurs DNS est ouvert? Si je constate que nous exécutons des serveurs DNS ouverts, comment pourrais-je les fermer pour éviter qu'ils ne soient utilisés abusivement pour des attaques DDOS?

10
nelaaro
  • Identifiez un serveur Open DNS par vos propres requêtes via NMAP :

x.x.x.x = IP du serveur DNS

nmap -sU -p 53 -sV -P0 --script "dns-recursion" x.x.x.x

La sortie possible serait:

VERSION DU SERVICE DE L'ÉTAT DU PORT
53/udp domaine ouvert ISC BIND "version"
* | _dns-recursion: La récursion semble être activée *

  • Services en ligne :

Si vous préférez utiliser les services en ligne, le projet openresolver est très bon, il vérifie également les sous-réseaux de largeur/22, alors vérifiez-le ---> http://www.openresolverproject.org

Après une découverte de serveur Open DNS avec des outils en ligne, c'est une bonne idée de faire une double vérification pour obtenir une preuve de récursivité ---> http://www.kloth.net/services/Dig.php

Exemple de sortie, regardez le drapeau "ra" signifie que la récursivité est disponible:
; << >> Dig 9.7.3 << >> @ x.x.x.x domain.cn A
; (1 serveur trouvé)
;; options globales: + cmd
;; J'ai une réponse:
;; - >> HEADER << - opcode: QUERY, status: NOERROR, id: xxx
;; drapeaux: qr rd ra; REQUÊTE: 1, RÉPONSE: 1, AUTORITÉ: 5, SUPPLÉMENTAIRE: 0


DÉSACTIVATION DE LA RÉCURSION
( source knowledgelayer softlayer com)

Désactiver la récursivité dans Windows Server 2003 et 2008

Access the DNS Manager from the Start menu:
    Click the Start button.
    Select Administrative Tools.
    Select DNS.
Right click on the desired DNS Server in the Console Tree.
Select the Proprerties tab.
Click the Advanced button in the Server Options section.
Select the Disable Recursion checkbox.
Click the OK button.

Désactiver la récursivité sous Linux

Locate the BIND configuration file within the operating system. The BIND configuration file is usually located in one of the following paths:
    /etc/bind/named.conf
    /etc/named.conf
Open the named.conf file in your preferred editor.
Add the following details to the Options section:
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
Restart the device.
5
White Shadow

Un serveur DNS ouvert est celui qui répond aux demandes DNS de n'importe qui pour n'importe quoi. En règle générale, les serveurs DNS que vous exécutez ne doivent répondre qu'aux demandes que vous souhaitez.

Dans une organisation typique, par exemple, vous souhaitez que les machines à l'intérieur de votre réseau, telles que votre ordinateur portable, puissent résoudre n'importe quoi, et les machines à l'extérieur de votre réseau ne puissent résoudre que vos services accessibles au public, tels que votre serveur Web et le courrier entrant . Bien sûr, votre organisation n'est peut-être pas typique.

Pour savoir si vos serveurs DNS répondent à des demandes que vous ne voulez pas, faites de telles demandes et voyez ce qui se passe! En utilisant une machine en dehors de votre réseau, pointez une copie de Dig vers vos résolveurs et essayez d'interroger les choses.

Pour sécuriser vos serveurs DNS, consultez la documentation de votre marque particulière de serveur DNS et configurez-les pour faire ce que vous voulez.

5
Graham Hill

Il existe quelques sites qui recherchent sur Internet des résolveurs DNS ouverts et en publient des listes pour aider les FAI à détecter et à arrêter les résolveurs. En voici un, vous pouvez l'utiliser pour rechercher des IP dans votre réseau qui sont des résolveurs ouverts:

Quant à les sécuriser, c'est assez simple - restreignez simplement les résolveurs DNS pour n'autoriser que les requêtes à l'intérieur de votre réseau. Vous pouvez soit configurer le DNS pour répondre uniquement aux requêtes provenant d'adresses situées à l'intérieur de votre réseau, soit utiliser des règles de filtrage de pare-feu/paquets pour restreindre l'accès au port 53.

L'équipe Cymru a un guide ici: http://www.team-cymru.org/Services/Resolvers/instructions.html

Assurez-vous simplement de ne pas filtrer vos serveurs de noms faisant autorité, Internet doit les atteindre pour que vos domaines fonctionnent!

4
JasperWallace