MOLEHAND Solutions

 
Print  
By Molnár Péter on 2014. 05. 26. 12:48

Trükkös DNS támadásban vett részt az egyik ügyfelünk gépe. A lényeg, hogy hamisított DNS kéréseket kapott, amire válaszolt a megtámadott gépnek, amit így eltömített válaszokkal a többi pár száz géppel együtt, akik szintén részt vettek a támadásban.
 
Mi történt?
- Windows alapú szerver volt publikus IP-val
- AD szolgáltatás (és ennek megfelelően DNS) futott rajta
- A tűzfalon nyitva volt a DNS server port (Valószínűleg az AD wizzard nyitotta ki, ami LAN környezetben teljesen normális)
A legtöbb AD/DNS szerver nyilván nem érintett, mivel LAN-on vannak (router mögött), ahol általában nincs beforgatva a 53-as port.
Figeljünk erre:
- Van-e olyan szerver ami publikus IP címmel rendelkezik? Ha igen, nézzétek át mik vannak engedélyezve a tűzfalán és csak az legyen, ami tényleg szükséges.
- Van-e olyan router, ahol nem csak portforward, hanem teljes szerver publikálás (vagy DMZ) van beállítva. (Ezt lustaság és a portforward hiánya/primitívsége okozhatja)
A második verzió simán előfordulhat.
A nyitott DNS-t így ellenőrizhetjük egy külső cmd –ből:
nslookup
server
publikusIP
index.hu
Ha timeout-ot kapunk, akkor nincs nyitva. Ha válaszol, akkor probléma van, tiltsuk le. (Kivéve pl. az MHWEB-et ami publikus DNS szerver, tehát az a feladata, hogy az authoritív zonák tekintetében válaszoljon. +őt a TMG védi azzal, hogy észreveszi, ha túl sok kérés jön egy gépről és letiltja)

 

 

Discount offer

 I’ve already tried several providers. Currently all of our projects are placed at MOLEHAND, because they provide real services not only a piece of a computer. Any kind of new problem crops up, I can always count on a fast and expert reaction.