Następne uderzenie będzie w DNS-y?

Na kilku grupach dyskusyjnych poświęconych bezpieczeństwu zaczynają pojawiać się doniesienia o ciekawych skanach serwerów DNS. Są one o tyle niebezpieczne, że bardzo łatwo mogą doprowadzić do zDoS-owania danej witryny.

W skrócie wielkim, gwoli przypomnienia: serwer DNS to taki serwer, który informuje Wasz komputer, do jakiego adresu IP musi iść, jeśli np. w przeglądarce wpiszecie www.google.com. Trudno go do czegokolwiek porównać w rzeczywistości - na upartego można go uznać za tłumacza, który przekłada informacje z języka zrozumiałego dla człowieka (www.google.com) na język zrozumiały dla komputerów (66.249.93.104).

Te skany pojawiają się mniej więcej od grudnia zeszłego roku, choć wydaje mi się, że ktoś wpadł na nie już dużo wcześniej. Działanie jest proste: wysłać do serwera DNS zapytanie o dany adres, ale w nagłówku jako nadawcę podać inny komputer - właściwy cel naszego ataku. My wysyłamy mały pakiet, serwer DNS odpowiada pełną informacją o witrynie. Albo 10 serwerów DNS. Albo 100. Albo 1000. I komputer docelowy się ugina...

Coś z zupełnie innej beczki

Tak przy okazji, już z innej mańki: *BSD mają ciekawą opcję - bez uruchamiania jakiegokolwiek firewalla potrafią porzucać ("to drop it on the floor" - podoba mi się ten zwrot, oczyma wyobraźni widzę przylatujący i roztrzaskujący się o podłogę niechciany pakiet) i logować pakiety, które przyszły na niewłaściwy port. Te opcje wyglądają tak:

net.inet.tcp.blackhole=2

net.inet.udp.blackhole=1

Wszystko byłoby świetnie, gdyby nie fakt, że ich włączenie obniża maksymalną przepustowość sieci do kilkuset kilobajtów na sekundę. Tym niemniej jeżeli jesteście w podejrzanym otoczeniu i nie chce Wam się konfigurować firewalla, zastanówcie się, czy nie byłoby dobrze dodać tych opcji do sysctl.conf...