एक ओपन DNS रिज़ॉल्वर क्या है, और मैं अपने सर्वर को हैकर्स द्वारा दुरुपयोग होने से कैसे बचा सकता हूं?

15

मेरे पास कंप्यूटर सुरक्षा में सबसे मजबूत पृष्ठभूमि नहीं है, लेकिन कल मेरी कंपनी का एक सर्वर हमारे होस्ट द्वारा बंद कर दिया गया था।

यह एक सर्वर है जिसे मैंने सार्वजनिक आईपी सौंपा है जहाँ मैं वेबसाइटों और एपीआई सहित कई वेब-सेवा अनुप्रयोगों की मेजबानी करता हूँ। मुझे बताया गया था कि मेरा सर्वर "एक खुली डीएनएस रिवाल्वर चला रहा है जिसका उपयोग किसी बाहरी संस्था को सेवा हमले से इनकार करने के लिए किया जा रहा है।"

इसका क्या मतलब है? यह हमला कैसे काम करता है? और मैं अपने सिस्टम को इस तरह से दुरुपयोग करने से कैसे बचा सकता हूं?

मेरे विशिष्ट मामले में, विचाराधीन सर्वर विंडोज सर्वर 2012 पर है, और यह सक्रिय निर्देशिका डोमेन के लिए DNS की सेवा कर रहा है।

domain-name-system  active-directory  windows-server-2012  ddos  security 
JSideris
स्रोत
यदि आप हमें बताते हैं कि आप किस DNS सर्वर का उपयोग करते हैं, तो कोई व्यक्ति आपको ठीक-ठीक बता सकता है कि आपको कौन सा कॉन्फ़िगरेशन सेट करने की आवश्यकता है, और किस फैशन में। उस जानकारी के बिना, मैंने बस BIND और सभी निजी IP पता स्थानों का अनुमान लगाया, क्योंकि BIND सबसे सामान्य DNS सर्वर है और निजी पता स्थान सुरक्षित हैं। आप शायद अपने बाहरी पते ब्लॉक (एस) से पुनरावर्ती अनुरोधों को लागू करने की अनुमति देना चाहते हैं, यदि लागू हो।
हॉपलेसनब
@ HopelessN00b धन्यवाद, आपका उत्तर काफी उपयोगी था। मैं BIND का उपयोग नहीं कर रहा हूं (मेरे मेजबान ने भी मान लिया था कि मैं था और मुझे कुछ कमांड चलाने के लिए प्रदान किया था); मेरे पास एक DNS सर्वर है जिसे IIS में एक भूमिका के रूप में सेट किया गया है। यह दिलचस्प है, मैंने मैन्युअल रूप से एक DNS सर्वर को कॉन्फ़िगर नहीं किया है और मुझे यकीन नहीं है कि मैं काफी समझता हूं कि मुझे इसकी आवश्यकता क्यों है। यदि यह अक्षम हो जाता है तो क्या टूटता है?
जेएसडेरिस 20
उह, एक विंडोज़ वातावरण में डीएनएस को निष्क्रिय न करें। यह संभव है कि आप सक्रिय निर्देशिका को तोड़ देंगे। मुझे पता है कि विंडोज सर्वर का कौन सा संस्करण है, और मैं (शायद) विंडोज स्क्रीनशॉट बॉक्स को सुरक्षित करने के तरीके को दिखाने के लिए कुछ स्क्रीनशॉट में संपादित कर सकता हूं।
होपलेसनब
ठीक है। मैं वास्तव में इस सप्ताह के अंत में केवल सक्रिय निर्देशिका स्थापित कर रहा हूं। यह विंडोज़ सर्वर 2012 मानक है।
JSideris

जवाबों:

28

एक "ओपन डीएनएस रिज़ॉल्वर" एक डीएनएस सर्वर है जो इंटरनेट पर किसी के लिए पुनरावर्ती डीएनएस लुकअप को हल करने के लिए तैयार है। यह एक खुले एसएमटीपी रिले की तरह है, जिसमें प्रमाणीकरण की सरल कमी दुर्भावनापूर्ण 3 पार्टियों को आपके असुरक्षित उपकरणों का उपयोग करके अपने पेलोड को प्रचारित करने की अनुमति देती है। ओपन एसएमटीपी रिले के साथ, समस्या यह है कि वे स्पैम को अग्रेषित करते हैं। ओपन डीएनएस रिसोल्वर्स के साथ, समस्या यह है कि वे डीएनएस प्रवर्धन हमले के रूप में जाना जाने वाले सेवा हमले से इनकार करते हैं।

जिस तरह से यह हमला काम करता है वह बहुत सरल है - क्योंकि आपका सर्वर किसी से पुनरावर्ती डीएनएस प्रश्नों को हल करेगा, एक हमलावर इसे अपने सर्वर को एक पुनरावर्ती डीएनएस क्वेरी भेजकर डीडीओएस में भाग लेने का कारण बन सकता है जो डेटा की एक बड़ी राशि लौटाएगा, बहुत अधिक से अधिक मूल DNS अनुरोध पैकेट। अपने IP पते को स्पूफिंग (फ़ेकिंग) करके, वे इस अतिरिक्त ट्रैफ़िक को अपने शिकार के कंप्यूटर पर अपने बजाए सीधे निर्देशित करेंगे, और निश्चित रूप से, वे आपके सर्वर पर जितनी जल्दी हो सके उतने अधिक अनुरोध करेंगे, और कोई अन्य खुला डीएनएस resolvers वे पा सकते हैं। इस तरह से, अपेक्षाकृत छोटे पाइप वाले व्यक्ति अपने पीड़ितों पर यातायात का अधिक से अधिक मात्रा में निर्देशन करने के लिए अपने पाइप पर सभी बैंडविड्थ का उपयोग करके सेवा हमले से इनकार कर सकते हैं।

ArsTechnica ने Spamhaus के खिलाफ हाल ही के DNS प्रवर्धन DDoS हमले पर एक सभ्य लेख किया , और मूल बातें (और प्रवर्धन का एक अच्छा दृश्य) प्राप्त करने के लिए त्वरित पढ़ने लायक है।

अपने सिस्टम को इस तरह से दुरुपयोग करने से बचाने का सबसे सरल तरीका यह है कि आपके सर्वर को आपके स्थानीय सबनेट के लिए पुनरावर्ती लुकअप को संबोधित करने वाले पते को सीमित करना है। (जो विशेष रूप से जिस DNS सर्वर का आप उपयोग कर रहे हैं, उस पर निर्भर करता है)।

उदाहरण के लिए, यदि मैं BIND 9 का उपयोग कर रहा था, और केवल बाहर के पतों से DNS पुनरावृत्ति को रोकना चाहता था, तो मैं निम्नलिखित कोड का उपयोग अपने विन्यास में करूंगा:

options {
    directory "/var/named/master";
    allow-recursion { 127.0.0.1; 10.0.0.0/8; 192.168.0.0/16; 172.16.0.0/12; };

कोड की वह पंक्ति मेरे BIND सर्वर को केवल स्थानीय लूपबैक पते के लिए पुनरावर्ती DNS अनुरोधों को संसाधित करने के लिए कहती है (जो मुझे लगता है कि मैं स्थानीय लूपबैक ब्लॉक, पूरे / 8 पर सेट कर सकता हूं) और 3 निजी आईपीवी 4 पता स्थान।

विंडोज सर्वर 2012 के लिए, जो आप कहते हैं कि आप उपयोग कर रहे हैं, आपके पास नीचे विकल्प हैं।

1. अपने DNS सर्वर को अपने IIS सर्वर से अलग करें।

  • कम से कम एक आदर्श दुनिया में, कोई कारण नहीं है कि आपको IIS के समान बॉक्स पर DNS चलाने की आवश्यकता हो।
    • DNS को एक आंतरिक बॉक्स पर रखें जो NATed नहीं है, इसलिए बाहरी दुनिया इसे प्राप्त नहीं कर सकती है, और IIS को बाहरी-सामना करने वाले बॉक्स पर निवास करना चाहिए जो बाकी दुनिया को मिल सकता है। आप अपने IIS सर्वर से अपने DNS सर्वर तक चुनिंदा अनुमति देने के लिए दोहरे-होमिंग या फ़ायरवॉल नियमों का उपयोग कर सकते हैं।

2. फ़ायरवॉल के साथ बाहरी DNS अनुरोधों को ब्लॉक करें, जैसे कि विंडोज फ़ायरवॉल में बनाया गया है।

  • मेरे आश्चर्य के लिए, विंडोज DNS आपको उन पतों को प्रतिबंधित करने की अनुमति नहीं देता है जिनके लिए पुनरावर्ती डीएनएस अनुरोधों को सम्मानित किया जाता है, इसलिए यह वास्तव में Microsoft द्वारा अनुशंसित विधि है।
  • यहाँ छवि विवरण दर्ज करें
    • DNS नियमों (टीसीपी और यूडीपी) का चयन करें, Remote IP addressअनुभाग पर जाएं और अपने लैन पर उपयोग में सबनेट जोड़ें, साथ ही सर्वर के किसी भी सार्वजनिक-सामना करने वाले आईपी पते को सक्रिय निर्देशिका तक पहुंच की आवश्यकता है। BIND उदाहरण के साथ, IPv4 निजी पता स्थान हैं 127.0.0.0/8 10.0.0.0/8 192.168.0.0/16और 172.16.0.0/12

3. पुन: स्थापन अक्षम करें

  • मुझे पूरा यकीन नहीं है कि आपके पर्यावरण पर इसका क्या प्रभाव पड़ेगा, क्योंकि आपने वास्तव में नहीं बताया है कि आपके वातावरण में DNS और AD कैसे कॉन्फ़िगर किए गए हैं, और तदनुसार, यह अंतिम विकल्प है।
  • यहाँ छवि विवरण दर्ज करें
    1. DNS प्रबंधक खोलें।
    2. कंसोल ट्री में, लागू DNS सर्वर पर राइट-क्लिक करें, फिर गुण क्लिक करें।
    3. कहाँ पे?
    4. DNS / लागू DNS सर्वर
    5. उन्नत टैब पर क्लिक करें।
    6. सर्वर विकल्प में, पुनरावर्ती अक्षम करें चेक बॉक्स का चयन करें और फिर ठीक पर क्लिक करें।
      • चूंकि हमारे पास एक बहु-वन वातावरण है, और उस काम के लिए सशर्त फारवर्डर्स का उपयोग करें, मैं उस बॉक्स की जांच नहीं करने जा रहा हूं। आपके लिए भी कुछ हो सकता है।
HopelessN00b
स्रोत
बहुत बढ़िया जवाब!
फ्रेड द मैजिक वंडर डॉग
सही, अच्छी तरह से प्रलेखित समाधान :)।
21
2
फिर 8.8.8.8 या 1.1.1.1 कैसे खुद को खुले रिसोल्वर होने से रोकते हैं?
LinuxBabe
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.