MOLEHAND Solutions

Trükkös DNS támadásban vett részt az egyik ügyfelünk gépe. A lényeg, hogy hamisított DNS kéréseket kapott, amire válaszolt a megtámadott gépnek, amit így eltömített válaszokkal a többi pár száz géppel együtt, akik szintén részt vettek a támadásban.

 

Mi történt?
- Windows alapú szerver volt publikus IP-val
- AD szolgáltatás (és ennek megfelelően DNS) futott rajta
- A tűzfalon nyitva volt a DNS server port (Valószínűleg az AD wizzard nyitotta ki, ami LAN környezetben teljesen normális)

A legtöbb AD/DNS szerver nyilván nem érintett, mivel LAN-on vannak (router mögött), ahol általában nincs beforgatva a 53-as port.

Figeljünk erre:
- Van-e olyan szerver ami publikus IP címmel rendelkezik? Ha igen, nézzétek át mik vannak engedélyezve a tűzfalán és csak az legyen, ami tényleg szükséges.
- Van-e olyan router, ahol nem csak portforward, hanem teljes szerver publikálás (vagy DMZ) van beállítva. (Ezt lustaság és a portforward hiánya/primitívsége okozhatja)

A második verzió simán előfordulhat.
A nyitott DNS-t így ellenőrizhetjük egy külső cmd –ből:

Ha timeout-ot kapunk, akkor nincs nyitva. Ha válaszol, akkor probléma van, tiltsuk le. (Kivéve pl. az MHWEB-et ami publikus DNS szerver, tehát az a feladata, hogy az authoritív zonák tekintetében válaszoljon. +őt a TMG védi azzal, hogy észreveszi, ha túl sok kérés jön egy gépről és letiltja)