Undgå DNS Amplification attacks



Relaterede dokumenter
Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Cisco ASA Vejledning. Opsætning af DMZ-zone

Net Videre TCP/IP repetition Øvelse

Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det. Bo Lindhøj Artavazd Hakhverdyan May 21, 2012

Netværksmålinger. - en introduktion! Netteknik. TCP - IP - Ethernet

Indledning. Resume. Statistikgrundlag

Netværksmålinger. - en introduktion! Netteknik

IP version 6. Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0.

Digital skriftlig aflevering med Lectio Censormodul Stedprøver installationsvejledning

Hvis du ønsker at tilgå Internet trådløst, skal du selv anskaffe dette udstyr. Det kaldes ofte et access point eller en trådløs router.!

Opbygning af firewall regler. Overvejelser med mere

Cipherlab CPT8x00 med Ethernet Cradle

Netteknik 1. AMU kursus nr Netværk grundlæggende ( AMU Netteknik 1 ) - anvendelse af teknologier og begreber. Formålet med kursus

Netteknik 1. AMU kursus nr Netteknik 1 (AMU 44947) - anvendelse af teknologier og begreber. Formålet med kursus

Netteknik 1. - anvendelse af teknologier og begreber. AMU kursus nr

Multiguide til C903IP

Navn: Søren Guldbrand Pedersen Klasse: 2i Fag: Applikationer Opgave: Eksamens-spørgsmål Lære: Kim Rundblad Side 1 af 9 Dato:

Basal TCP/IP fejlfinding

Åbning af porte og UPnP

Domain Name System. Domain Name System - DNS

Netkit Dokumentation

Netværksovervågning og -administration

Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland

DNS systemet. Mercantec 2013 DNS. DNS en hierarkisk zone opdelt navnedatabase. Navnene i DNS er opbygget af 2 dele:

Guide til opsætning og sikring af trådløst netværk.

TCP & UDP. - de transportansvarlige på lag 4. Netteknik 1

SSSystems.local. Netværk. Sikkerhed. Webserver

TDC DDoS trusselsrapport for 2017

Forår Firewalls

Logning en del af en godt cyberforsvar

DKCERT Scanningstjenesten

TDC DDoS trusselsrapport for 2015

DNS teknisk set. Netteknik 1

Quick Start brugervejledning for Nagios systemovervågning

Infrastruktur i hjemmet og begreber

Introduktion til computernetværk

Deling i Windows. Netteknik 1

Trådløst internet Brugervejledning

- en introduktion! Oversætter domænenavne til IP-adresser - F.eks: oversættes til Bruges dagligt i Internet Browsere

OS2faktor. Windows Credential Providers. Version: Date: Author: BSG

VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009!

2.??? 2 Ethernet???? VPN

Cisco ASA Introduktion & vejledning. Opsætning af DMZ-zone

Situationsbillede af sikkerhedstilstanden på den danske del af internettet. Marts 2014

DBox installationsmanual

Bogen&om&net)hacking& &

IPT Netværk. IPT netværks protokoller. TDC IP telefoni Scale

Network management. - hvad sker der på mit netværk?! Netteknik 1

DNS systemet. - fra navne til IPv4 adresser! Netteknik 1

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning

Opsætning af FTP- og webserver 22. januar 2007

Intrusion Part 1 of chapter 9 Frederik Alkærsig & Henrik Holmgren-Jensen

INDHOLDSFORTEGNELSE. INDLEDNING... 7 Kristian Langborg-Hansen. KAPITEL ET... 9 I gang med App Inventor. KAPITEL TO...

Kaminsky DNS exploit

Paranoia and government hacking workshop

Situationsbillede af sikkerhedstilstanden på internettet. April Center for Cybersikkerhed

Flytte Thunderbird-adresser til din nye Outlook Exchange.

SNMP Simple Network Management Protocol. Henrik Thomsen/EUC MIDT 2007

Installation. Aesiras Internet hjemmeside og webshop. Aesiras -integreret Regnskab, Handel og Internet

Undersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor

Netservice Netservice-menuen giver dig mulighed for at opsætte og aktivere/deaktivere forskellige netfunktioner på kameraet.

DNS teknisk set. - vi kigger lidt dybere i DNS systemet! Netteknik 1

De forskellige måder man scanner på

RAT-Trojans. NetCowBoy Security. RAT-Trojans. Udgivelsesdato: august 7, Dokumentet er udarbejdet af: Lenny Hansson, CPSA GPEN (WCNA)

NETVÆRKSBRUGSANVISNING

Internet Protokollen. - IP er arbejdshesten på næsten alle netværk! Netteknik 1

-Krav til klinikkens udstyr (hardware/netværk mm.)

Netværkstopologi. Netteknik 1. Netteknik 1 (AMU 44947) Mercantec Den logiske og den fysiske! Netværkstopologi

NETVÆRKSKURSUS Oktober November jmt

Macab ST2300 IP. Gert Kaae Hansen

Signalopsamling i netværk. Kristen TheCamp.dk 2015

Deling i Windows. - via NetBIOS eller Hjemmegruppe! Netteknik 1

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Firewall opsætning Smoothwall (Linux)

Sikker netværkskommunikation

OPSÆTNING AF VPN TIL KUNDER

LAB ØVELSE KONFIGURATION AF DHCP PÅ DANSK AF KIM DONNERBORG / RTS

Installation af web-konfigurationsprogrammer

Netværks opsætning af IP modulet:

Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0

Index. Indledning/formål...2 Hardware...3. Cisco 2501 Router... 3 Routerens interfaces...3

SIGN-OFF DOKUMENT. Dokumentet faxes, mailes eller sendes retur til: KUNDE OPLYSNINGER SALGSKONSULENT PRODUKT

3OMSTILLING. Brugermanual til 3SoftPhone

Datanet Obligatorisk opgave 3: IP og ICMP. René Hardi Hansen Michael Falcke Nilou Anders Bjerg Pedersen Hold september 2007

Reducér risikoen for falske mails

MANUAL SKIOLD GØR EN FORSKEL DISTRIWIN SERVICE INSTALLATION

Security Center Et overblik

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Opsætning af din computer med DLG Bredbånd

VoIP. Voice over IP & IP-Telefoni. Lars Christensen & René Truelsen, Dec. 2004

Ethereal Intro && Ethereal HTTP. René Hansen Anders Bjerg Pedersen Michael Nilou Hold 1 September 12, 2007

TDC HomeBox VDSL. Installationsvejled ning til dig med telefoni og bredbånd

Datapakke. Data. Afsender. Modtager

FairSSL Fair priser fair support

Afhold team-webinars og styrk dit team.

Brugervejledning Web cam Copyright Brugervejledning. Web cam. GSM teknik Version 1.0 Side

Produktspecifikationer Anti DDOS Version 1.2. Anti DDOS. Side 1 af 8

De pakker du henter fra Sektornet Værktøjskassen ligger i filformatet jar. Dette er en komprimeringsformat på linie med Zip formattet.

Inspirationsliste til nyttige apps

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Transkript:

Undgå DNS Amplification attacks 29. november 2013 Til: Den it-sikkerhedsansvarlige Resumé Center for Cybersikkerhed har i den seneste tid set flere DDoS-angreb mod danske myndigheder og private virksomheder. Det er typisk DDoS-angreb af typen HTTP SYN, ICMP og DNS amplification. Center for Cybersikkerhed har i sit situationsbillede for første kvartal 2013 beskrevet, hvordan Danmark bliver brugt som angrebsplatform til blandt andet DDoS-angreb. Mange myndigheder og virksomheder har opsat deres DNS-servere som såkaldte 'åbne resolvers' det vil sige, at serverne tillader DNS fra hvem som helst. Ved at have åbne resolvers i egen it-infrastruktur risikerer virksomheder og myndigheder at stille ufrivillig angrebskapacitet til rådighed og dermed medvirke til eksempelvis DNS-amplification attacks mod andre. Virksomheder og myndigheder er ikke altid opmærksomme på, at egne DNS-tjenester er åbne over for denne form for angreb. Derfor har Center for Cybersikkerhed beskrevet en række tests, som it-afdelinger kan gennemføre for at identificere åbne resolvers i egen it-infrastruktur. Anbefaling Center for Cybersikkerhed anbefaler at kontrollere egne netværk for åbne DNS-resolvers. Har virksomheden eller myndigheden et forretningsmæssigt behov for åbne DNS-resolvers, anbefaler vi at imødegå denne sårbarhed ved at følge de anbefalinger, som allerede findes tilgængelige på internettet. Se links i bunden af dette dokument. Sådan finder du åbne resolvers i dine net Automatiseret metode: En nem metode til at søge efter åbne resolvers er at bruge en sårbarhedsscanner som eksempelvis Nessus. En sårbarhedsscanner kan desuden scanne efter yderligere sårbarheder, som ofte gør sig gældende på åbne DNS resolvers. Vær opmærksom på eventuelle licensbetingelser. 1/5

Manuel metode: NMAP-portscanning kan lokalisere DNS-servere, der er opsat til at tillade DNS-recursion. DNS amplification attacks udnytter netop disse DNS-servere med åben DNS-resolver. Angriberen vil typisk benytte DNS ANY -opslag mod en given DNS-server med spoofet source IP-adresse, hvis denne tillader mange forespørgsler. NMAP-metoden er beskrevet på Windows, som benyttes af de fleste brugere. Vi anbefaler dog at benytte Linux ved scanninger af store netværk. Det er vigtigt, at man scanner udefra, hvor DNS-serveren forventeligt kan blive misbrugt. Begrænsning i disse tests: - Testene kontrollerer ikke for eventuel rate-limit implementering eller andre mitigeringsteknikker - NMAP scanning er begrænset til IPv4 og kun på IP'er, hvor ICMP svarer - NMAP scanning undersøger ikke DNS via TCP. NMAP-scanning: Fra en command prompt (Windows 7): nmap -oa c:\dns-scanning -su -sv -p 53 -T5 il "C:\\Users\\administrator\\Desktop\\LIST-IP.txt" --script dns-recursion Simpel NMAP-scanning mod en IP-adresse eller enkelte net: nmap -su -sv -p 53 -T4 --script dns-recursion 10.0.0.* Forklaring: - oa c:\dns-scanning = Gemmer resultatet i tre log-formater i C:\ roden - su = UDP scanning - sv = Service Detection (der kan være problemer med denne på Windows 7 64-bit) - p 53 = Scanning kun efter port 53 - T4 = Aggressive scanning (hastigheden på scanningen) - il = Sti til placeringen af TXT med IP-adresser, der skal scannes (kan undlades) - script dns-recursion = nmap script, der undersøger, om åben DNS recursion (også kaldet en åben DNS resolver) er tilladt. Bemærkning: Scanning af et /19 netværk tager cirka 2½ time på en Windows maskine, og kontrol DNS-opslag bliver foretaget mod www.wikipedia.org. Dette kan ændres i DNS-recursion scriptet i NMAP (anbefalet). Denne søgestreng kan efterfølgende bruges til søgning i NMAP logfilen: >Recursion appears to be enabled< - Dette betyder, at DNS recursion højst sandsynligt er tilladt. De åbne resolvers, som NMAP-scanningen har fundet, skal kontrolleres ved at foretage et DNS ANY lookup. Det skal sikre, at der er tale om DNS-recursion, og afgøre, om DNS-serveren kan være misbrugs egnet til DNS amplification attacks. 2/5

Følgende DIG command kan benyttes: Udskift IP-adressen 8.8.8.8 med den IP-adresse, du ønsker at kontrollere. Eksemplet nedenfor viser et eksempel foretaget mod punktum via 8.8.8.8 (Google DNS). dig any. @<Den IP-adresse, du vil kontrollere> Tips til wireshark: Du kan bruge følgende wireshark eller tilsvarende til opsamling af trafik i forbindelse med scanninger (anbefalet): Wireshark Capture filter (foretag trafikopsamling fra den pc, der scannes fra) host >host ip< and udp port 53. Dumpcap capture filter er en alternativ metode til wireshark, som kan anbefales til især store scanninger. dumpcap" -b duration: 86400 -b files:90 -i 1 -P -f "ether host >MAC addresser på den pc, der scannes fra<" -w C:\Dump-Cap\dns.pcap DNS Response (bruges til at finde de IP-adresser, der er åbne resolvers i den opsamlede trafik) dns.resp.name == www.wikipedia.org Wireshark Display filter DNS ANY dns.qry.type == 0x00ff 3/5

Yderligere information: Om sårbarheden US-CERT http://www.us-cert.gov/ncas/alerts/ta13-088a DNS Amplification Attack (Youtube klip) http://www.youtube.com/watch?feature=player_embedded&v=xtkjhwkdwp0#! dns.measurement http://dns.measurement-factory.com/surveys/openresolvers/asn-reports/ Værktøjer, som kan benyttes nmap http://nmap.org Nessus http://www.tenable.com DIG til windows http://members.shaw.ca/nicholas.fong/dig/ SANS DNS test tool https://isc.sans.edu/dnstest.html Wireshark Inkluderer dumpcap http://www.wireshark.org/download.html Teknikker, der kan mitigere denne sårbarhed IETF Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing http://tools.ietf.org/html/bcp38 Cloudshiled - Ratelimit http://www.cloudshield.com/applications/dns-limit-attacks.asp 4/5

Rate limit via IP tables - Working guide http://www.junkemailfilter.com/blog/2013/03/03/how-to-block-dns-amplification-attack-isc-org-anyattack/ Center for Cybersikkerhed Sådan kan DDoS-angreb imødegås http://fe-ddis.dk/cfcs/cfcsdocuments/s%c3%a5dan%20undg%c3%a5r%20du%20ddos%20angreb.pdf Situationsbillede af sikkerhedstilstanden på internettet http://fe-ddis.dk/cfcs/cfcsdocuments/situationsbillede%20-%20april%202013.pdf 5/5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback