web-dev-qa-db-ja.com

ネットワークで開いているDNSリゾルバーを識別するにはどうすればよいですか?

この記事 は、オープンDNSリゾルバーがインターネット上でDDOS攻撃を作成するためにどのように使用されているかを強調しています。 DNSサーバーが開いているかどうかを確認するにはどうすればよいですか?開いているDNSサーバーを実行していることがわかった場合、DDOS攻撃で悪用されないようにするにはどうすればよいですか?

10
nelaaro
  • オープンDNSサーバーを識別する独自のNMAPを介したクエリ

x.x.x.x = DNSサーバーIP

nmap -sU -p 53 -sV -P0 --script "dns-recursion" x.x.x.x

可能な出力は次のとおりです。

PORT STATE SERVICE VERSION
53/udp open domain ISC BIND "version"
* | _dns-recursion:再帰が有効になっているようです*

  • オンラインサービス

オンラインサービスの利用を希望する場合、openresolverプロジェクトは非常に優れており、/ 22幅のサブネットもチェックするため、チェックアウトしてください---> http://www.openresolverproject.org

オンラインツールでOpen DNSサーバーを検出した後、再帰についての証拠を得るためにダブルチェックを行うことをお勧めします---> http://www.kloth.net/services/Dig.php

出力例、"ra"フラグを確認し、再帰が利用可能であることを意味します。
; << >> Dig 9.7.3 << >> @ x.x.x.x domain.cn A
; (1台のサーバーが見つかりました)
;;グローバルオプション:+ cmd
;;答えを得た:
;; ->> HEADER <<-opcode:QUERY、status:NOERROR、id:xxx
;;フラグ:qr rd ra;クエリ:1、回答:1、権限:5、追加:0


DISABLING RECURSION
source knowledgelayer softlayer com

Windows Server 2003および2008で再帰を無効にする

Access the DNS Manager from the Start menu:
    Click the Start button.
    Select Administrative Tools.
    Select DNS.
Right click on the desired DNS Server in the Console Tree.
Select the Proprerties tab.
Click the Advanced button in the Server Options section.
Select the Disable Recursion checkbox.
Click the OK button.

Linuxで再帰を無効にする

Locate the BIND configuration file within the operating system. The BIND configuration file is usually located in one of the following paths:
    /etc/bind/named.conf
    /etc/named.conf
Open the named.conf file in your preferred editor.
Add the following details to the Options section:
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
Restart the device.
5
White Shadow

オープンDNSサーバーは、誰からのDNS要求にも何でも応答するサーバーです。原則として、実行するDNSサーバーは、要求する要求にのみ応答する必要があります。

たとえば、一般的な組織では、ラップトップなどのネットワーク内のマシンは何でも解決できるようにし、ネットワーク外のマシンはWebサーバーや受信メールなどの公開サービスのみを解決できるようにする必要があります。 。もちろん、あなたの組織は典型的ではないかもしれません。

DNSサーバーが望まない要求に応答しているかどうかを確認するには、そのような要求を行い、何が起こるかを確認してください!ネットワーク外のマシンを使用して、Digのコピーをリゾルバーに向け、クエリを実行してみます。

DNSサーバーを保護するには、特定のブランドのDNSサーバーのドキュメントを参照し、必要な処理を実行するように構成します。

5
Graham Hill

インターネットをスキャンしてオープンDNSリゾルバーを探し、ISPがリゾルバーを検出してシャットダウンするのに役立つサイトのリストを公開しているサイトがいくつかあります。ここに1つあります。これを使用して、オープンリゾルバであるネットワーク内のIPを検索できます。

それらを保護することに関しては、それは非常に簡単です-DNSリゾルバを制限して、ネットワーク内部からのクエリのみを許可します。ネットワーク内にあるアドレスからのクエリにのみ応答するようにDNSを構成するか、ファイアウォール/パケットフィルタールールを使用してポート53へのアクセスを制限します。

Team Cymruのガイドは次のとおりです: http://www.team-cymru.org/Services/Resolvers/instructions.html

権限のあるネームサーバーを除外しないようにしてください。ドメインが機能するには、インターネットがそれらに到達する必要があります。

4
JasperWallace