MOLEHAND Solutions - Nagyvállalati megoldások mindenkinek

 
máj. 26

Written by: MOLEHAND
2014. 05. 26. 12:48

Trükkös DNS támadásban vett részt az egyik ügyfelünk gépe. A lényeg, hogy hamisított DNS kéréseket kapott, amire válaszolt a megtámadott gépnek, amit így eltömített válaszokkal a többi pár száz géppel együtt, akik szintén részt vettek a támadásban.
 
Mi történt?
- Windows alapú szerver volt publikus IP-val
- AD szolgáltatás (és ennek megfelelően DNS) futott rajta
- A tűzfalon nyitva volt a DNS server port (Valószínűleg az AD wizzard nyitotta ki, ami LAN környezetben teljesen normális)
A legtöbb AD/DNS szerver nyilván nem érintett, mivel LAN-on vannak (router mögött), ahol általában nincs beforgatva a 53-as port.
Figeljünk erre:
- Van-e olyan szerver ami publikus IP címmel rendelkezik? Ha igen, nézzétek át mik vannak engedélyezve a tűzfalán és csak az legyen, ami tényleg szükséges.
- Van-e olyan router, ahol nem csak portforward, hanem teljes szerver publikálás (vagy DMZ) van beállítva. (Ezt lustaság és a portforward hiánya/primitívsége okozhatja)
A második verzió simán előfordulhat.
A nyitott DNS-t így ellenőrizhetjük egy külső cmd –ből:
nslookup
server
publikusIP
index.hu
Ha timeout-ot kapunk, akkor nincs nyitva. Ha válaszol, akkor probléma van, tiltsuk le. (Kivéve pl. az MHWEB-et ami publikus DNS szerver, tehát az a feladata, hogy az authoritív zonák tekintetében válaszoljon. +őt a TMG védi azzal, hogy észreveszi, ha túl sok kérés jön egy gépről és letiltja)

Tags:

Your name:
Title:
Comment:
Security Code
Enter the code shown above in the box below
Add Comment    Mégsem  
 

Számítsa ki költségeit
  kalkulátorunkkal

tovább    

és nyerje meg
50 000 Ft értékű

ajándékunkat  

Akciós ajánlatunk

 Több szolgáltatót is volt szerencsém kipróbálni. Jelenleg minden projektünk a MOLEHAND-nél van elhelyezve, mert Ők nem csak egy szelet számítógépet adnak, hanem valódi szolgáltatást: Akármibe ütközök számíthatok a gyors és szakszerű reakcióra!