একটি উন্মুক্ত ডিএনএস রেজলভার কী এবং আমি কীভাবে আমার সার্ভারকে হ্যাকারদের দ্বারা অপব্যবহার করা থেকে রক্ষা করতে পারি?


15

কম্পিউটার সুরক্ষায় আমার সবচেয়ে শক্তিশালী ব্যাকগ্রাউন্ড নেই, তবে গতকাল আমার এক কোম্পানির সার্ভারটি আমাদের হোস্ট দ্বারা বন্ধ করে দেওয়া হয়েছিল।

এটি একটি সার্ভারকে একটি সর্বজনীন আইপ বরাদ্দ করেছে যেখানে আমি ওয়েবসাইট এবং API গুলি সহ বেশ কয়েকটি ওয়েব-পরিষেবা অ্যাপ্লিকেশন হোস্ট করি। আমাকে জানানো হয়েছিল যে আমার সার্ভারটি "একটি ওপেন ডিএনএস রিসলভার চালাচ্ছে যা কোনও বহিরাগত সত্তায় পরিষেবা আক্রমণকে অস্বীকার করার জন্য ব্যবহার করা হয়।"

এটার মানে কি? এই আক্রমণটি কীভাবে কাজ করে? এবং আমি কীভাবে আমার সিস্টেমকে এরকম অপব্যবহার থেকে রক্ষা করতে পারি?

আমার নির্দিষ্ট ক্ষেত্রে, প্রশ্নে থাকা সার্ভারটি উইন্ডোজ সার্ভার ২০১২-এ রয়েছে এবং এটি একটি অ্যাক্টিভ ডিরেক্টরি ডোমেনের জন্য ডিএনএস পরিবেশন করছে।


আপনি যদি আমাদের কোন ডিএনএস সার্ভারটি ব্যবহার করেন তা যদি আমাদের জানান তবে আপনাকে সম্ভবত কোন কনফিগারেশনটি সেট করতে হবে এবং কোন ফ্যাশনে আপনাকে সঠিকভাবে বলতে পারেন। এই তথ্য ব্যতীত, আমি কেবল BIND এবং সমস্ত ব্যক্তিগত আইপি ঠিকানা স্পেস অনুমান করেছিলাম, কারণ BIND সর্বাধিক সাধারণ ডিএনএস সার্ভার এবং ব্যক্তিগত ঠিকানা স্পেসগুলি নিরাপদ। আপনি প্রযোজ্য হলে সম্ভবত আপনার বাহ্যিক ঠিকানা ব্লক (গুলি) থেকে পুনরাবৃত্ত অনুরোধগুলি মঞ্জুর করতে চাই want
আশাহীন N00b

@ হোপলেস এন00 বি আপনাকে ধন্যবাদ, আপনার উত্তরটি বেশ কার্যকর ছিল। আমি BIND ব্যবহার করছি না (আমার হোস্টটি ধরেও নিয়েছে যে আমিই ছিলাম এবং চালানোর জন্য আমাকে কিছু কমান্ড সরবরাহ করেছিল); আইআইএস-এর ভূমিকা হিসাবে আমার একটি ডিএনএস সার্ভার রয়েছে। এটি আকর্ষণীয়, আমি নিজে ডিএনএস সার্ভারটি কনফিগার করেছিলাম না এবং আমি নিশ্চিতও নই যে কেন আমার এমনকি এটির প্রয়োজন কেন আমিও বেশ বুঝতে পারি। এটি অক্ষম হয়ে গেলে কী ভাঙবে?
JSideris

আহা, উইন্ডোজ পরিবেশে ডিএনএস অক্ষম করবেন না। সম্ভবত আপনি অ্যাক্টিভ ডিরেক্টরিটি ভঙ্গ করবেন। উইন্ডোজ সার্ভারের কোন সংস্করণটি আমাকে জানতে দিন এবং একটি উইন্ডোজ ডিএনএস বক্স কীভাবে সুরক্ষিত করবেন তা আপনাকে দেখানোর জন্য আমি কয়েকটি স্ক্রিনশটগুলিতে (সম্ভবত) সম্পাদনা করতে পারি।
আশাহীন N00b

ঠিক আছে. আমি আসলে এই সপ্তাহান্তে সক্রিয় ডিরেক্টরি সেট আপ করেছি। এটি উইন্ডোজ সার্ভার 2012 মানক।
জেসিদারিস

উত্তর:


28

একটি "ওপেন ডিএনএস রেজোলভার" হ'ল একটি ডিএনএস সার্ভার যা ইন্টারনেটে যে কারও জন্য পুনরাবৃত্ত ডিএনএস লুকআপ সমাধান করতে ইচ্ছুক। এটি অনেকটা একটি উন্মুক্ত এসএমটিপি রিলের মতো, এতে প্রমাণীকরণের সহজ অভাব দূষিত তৃতীয় পক্ষগুলিকে আপনার অনিরাপদ সরঞ্জাম ব্যবহার করে তাদের পেডগুলি প্রচার করতে দেয়। খোলা এসএমটিপি রিলে দিয়ে, সমস্যাটি হ'ল তারা স্প্যাম ফরোয়ার্ড করে। ওপেন ডিএনএস রিসোলভারগুলির সাথে, সমস্যাটি হ'ল তারা কোনও ডিএনএস এমপ্লিফিকেশন অ্যাটাক হিসাবে পরিচিত পরিষেবা আক্রমণটিকে অস্বীকার করার অনুমতি দেয়।

এই আক্রমণটি যেভাবে কাজ করে তা বেশ সহজ - কারণ আপনার সার্ভারটি কারও কাছ থেকে পুনরাবৃত্ত ডিএনএস কোয়েরিগুলি সমাধান করবে, একজন আক্রমণকারী আপনার সার্ভারকে একটি পুনরাবৃত্ত ডিএনএস ক্যোয়ারী প্রেরণ করে ডিডিওএসে অংশ নিতে পারে যা প্রচুর পরিমাণে ডেটা ফেরত দেবে, এর চেয়ে অনেক বড় মূল ডিএনএস অনুরোধ প্যাকেট। তাদের আইপি অ্যাড্রেসটি স্পোচিং (নকল) করে, তারা এই অতিরিক্ত ট্র্যাফিকটিকে তাদের নিজের পরিবর্তে তাদের শিকারের কম্পিউটারগুলিতে পরিচালিত করবে এবং অবশ্যই তারা আপনার সার্ভারে এবং অন্যান্য কোনও ওপেন ডিএনএসের সাথে যতটা সম্ভব তত দ্রুত অনুরোধ করবে'll সমাধানকারীরা তারা খুঁজে পেতে পারে। এই পদ্ধতিতে, অপেক্ষাকৃত ছোট পাইপযুক্ত যে কেউ তাদের ক্ষতিগ্রস্থদের দিকে ট্র্যাফিকের আরও বৃহত্তর দিকে পরিচালিত করতে তাদের পাইপের সমস্ত ব্যান্ডউইথ ব্যবহার করে পরিষেবা আক্রমণকে অস্বীকারকে "প্রশস্ত" করতে পারেন।

আর্টটেকনিকা স্প্যামহাউসের বিরুদ্ধে সাম্প্রতিক ডিএনএস এম্প্লিফিকেশন ডিডিওস আক্রমণ সম্পর্কে একটি শালীন নিবন্ধ করেছিলেন এবং বেসিকগুলি (এবং পরিবর্ধনের একটি ভাল ভিজ্যুয়াল) পেতে দ্রুত পড়ার জন্য মূল্যবান।

আপনার সিস্টেমকে এ জাতীয় অত্যাচার থেকে রক্ষা করার সহজ উপায় হ'ল আপনার স্থানীয় সাবনেটগুলির জন্য আপনার সার্ভারটি পুনরাবৃত্ত অনুসন্ধানগুলি সম্পাদন করবে limit (আপনি অবশ্যই কোন ডিএনএস সার্ভারটি ব্যবহার করছেন তার উপর নির্ভর করে))


উদাহরণস্বরূপ, যদি আমি 9 BIND ব্যবহার করতাম এবং কেবল বাইরের ঠিকানাগুলি থেকে DNS পুনরাবৃত্তি রোধ করতে চাইতাম, তবে আমি আমার কনফিগারেশনে নিম্নলিখিত কোডটি ব্যবহার করব:

options {
    directory "/var/named/master";
    allow-recursion { 127.0.0.1; 10.0.0.0/8; 192.168.0.0/16; 172.16.0.0/12; };

কোডটির লাইনটি আমার বিআইএনএনডি সার্ভারকে কেবল স্থানীয় লুপব্যাক ঠিকানার জন্য পুনরাবৃত্ত ডিএনএস অনুরোধগুলি প্রক্রিয়া করতে বলে (যা আমি অনুমান করি / আমি স্থানীয় লুপব্যাক ব্লক, পুরো / 8) এবং 3 ব্যক্তিগত আইপিভি 4 ঠিকানা স্পেসে সেট করতে পারি।


উইন্ডোজ সার্ভার ২০১২-এর জন্য, যা আপনি বলছেন যে আপনি ব্যবহার করছেন, আপনার নীচের বিকল্পগুলি রয়েছে।

1. আপনার আইআইএস সার্ভার থেকে আপনার ডিএনএস সার্ভারটি আলাদা করুন।

  • কমপক্ষে নিখুঁত বিশ্বে, আইআইএসের মতো একই বাক্সে আপনাকে ডিএনএস চালানোর দরকার নেই।
    • কোনও অভ্যন্তরীণ বাক্সে ডিএনএস রাখুন যা নেটেড নয়, যাতে বাইরের বিশ্ব এটি পেতে না পারে এবং আইআইএসকে বাইরের মুখোমুখি বাক্সে থাকতে দেয় যা পৃথিবীর বাকি অংশগুলি পেতে পারে। আপনার আইআইএস সার্ভার থেকে আপনার ডিএনএস সার্ভারে বেছে বেছে অ্যাক্সেসের অনুমতি দেওয়ার জন্য আপনি দ্বৈত-হোমিং বা ফায়ারওয়াল বিধিগুলি ব্যবহার করতে পারেন।

২. উইন্ডোজ ফায়ারওয়াল বিল্ট ইন ফায়ারওয়াল দিয়ে বাহ্যিক ডিএনএস অনুরোধগুলি অবরুদ্ধ করুন।

  • আমার অবাক করে দেওয়ার জন্য, উইন্ডোজ ডিএনএস আপনাকে যে ঠিকানাগুলিতে পুনরাবৃত্ত ডিএনএস অনুরোধগুলি সম্মানিত তা সীমাবদ্ধ করার অনুমতি দেয় না, তাই এটি মাইক্রোসফ্ট দ্বারা প্রস্তাবিত পদ্ধতিটি।
  • এখানে চিত্র বর্ণনা লিখুন
    • ডিএনএস নিয়মগুলি (টিসিপি এবং ইউডিপি) নির্বাচন করুন, Remote IP addressবিভাগে যান এবং আপনার ল্যানে ব্যবহারের সাবনেটগুলি যুক্ত করুন, সেই সাথে সার্ভারগুলির যে কোনও পাবলিক-ফেসিং আইপি ঠিকানাগুলি সক্রিয় ডিরেক্টরিতে অ্যাক্সেস প্রয়োজন। BIND উদাহরণ হিসাবে, IPv4 ব্যক্তিগত ঠিকানা স্পেস 127.0.0.0/8 10.0.0.0/8 192.168.0.0/16এবং 172.16.0.0/12

৩. পুনরাবৃত্তি অক্ষম করুন

  • এটি আপনার পরিবেশের উপর কী প্রভাব ফেলবে আমি সত্যই তা নিশ্চিত নই, যেহেতু আপনি সত্যিই বলেননি যে আপনার পরিবেশে কীভাবে ডিএনএস এবং এডি কনফিগার করা হয়েছে, এবং তদনুসারে এটিই শেষ বিকল্প।
  • এখানে চিত্র বর্ণনা লিখুন
    1. ডিএনএস ম্যানেজার খুলুন।
    2. কনসোল ট্রিতে প্রযোজ্য ডিএনএস সার্ভারে ডান ক্লিক করুন, তারপরে বৈশিষ্ট্যগুলি ক্লিক করুন।
    3. কোথায়?
    4. ডিএনএস / প্রযোজ্য ডিএনএস সার্ভার
    5. উন্নত ট্যাবে ক্লিক করুন Click
    6. সার্ভার বিকল্পগুলিতে, পুনরাবৃত্তি অক্ষম করুন চেক বাক্সটি নির্বাচন করুন এবং তারপরে ওকে ক্লিক করুন।
      • যেহেতু আমাদের একটি বহু-বন পরিবেশ রয়েছে, এবং এটি কাজ করার জন্য শর্তসাপেক্ষ ফরওয়ার্ডার ব্যবহার করে, আমি সেই বাক্সটি যাচ্ছি না। আপনারও বিবেচনা করার জন্য কিছু হতে পারে।


নিখুঁত, ভাল নথিভুক্ত সমাধান :)।
জেসিরিস

2
তাহলে ৮.৮.৮.৮ বা ১.১.১.১ কীভাবে ওপেন রিসোলভারগুলি থেকে নিজেকে আটকাতে পারে?
লিনাক্সবাবে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.