目錄表

Open DNS resolver 的問題

問題概述

Open DNS resolverCaching recursive DNS 伺服器對外公開(不限使用對象)提供名稱遞迴解析 (recursive name resolution)服務,可能產生以下問題:

  1. 暴露於外界,容易被攻擊或平白損耗系統及網路資源
  2. 容易被外界利用,成為發動 DDoS 網路攻擊的一員

偵測系統

{{wiki:new.png}}為防治 open DNS resolver 問題,協助處理校園內電腦因設定不慎而可能遭攻擊者利用來發動網路攻擊,故本組建置 open DNS resolver 偵測系統,並將偵測結果提供各單位網管,以便轉知其使用者參考建議作法來修正設定及自行檢測問題是否解決,藉以減少本校網路內 open DNS resolver 的數量。

最近七天內偵測結果

更新時間:Thu Dec 19 10:15:01 2024 Asia/Taipei
序號單位IP 位址偵測時間備註
1計通中心-TWAREN SSL VPN140.114.252.xxx2024/12/15 17:40:05
2計通中心-TWAREN SSL VPN140.114.252.xxx2024/12/17 15:40:01
3計通中心-TWAREN SSL VPN140.114.252.xxx2024/12/14 00:01:06
總計摘 3 筆記錄

即時檢測服務

{{wiki:new.png}}為方便本校使用者自行檢測其電腦或網路設備是否具有 open DNS resolver 的問題,特建置此即時的檢測服務,目前限由本校 IP 位址來進行檢測。(2013/08/30上線試用)

檢測 open DNS server IP 位址: . . .  

檢測說明

建議作法

DNS伺服器

為降低遭攻擊者利用機會,本中心提供 DNS 查詢服務,僅限本校IP位址使用。請各系所單位伺服器管理者參酌以下建議作法,拒絕對非限定使用者(校外IP位址)提供遞迴解析 (recursive resolution)的查詢服務,以避免 Open DNS resolver 問題

  1. 伺服器若非必要提供 DNS 查詢服務,請關閉之
    1. Caching recursive DNS 伺服器,請限制其服務對象的來源IP位址(如:系所單位內部 IP 位址),建議優先採用以下第一個方法:
      1. 以伺服器作業系統自身或外部的防火牆來限制 DNS 使用者的來源IP位址(DNS 服務埠號為port UDP/53)
      2. DNS 應用軟體(如:BIND)的 ACL (access control list) 來限制來源IP位址,如:BIND 設定的 acl 及 allow-query,詳參考資料
        acl nthu-nets { 140.114.0.0/16; 127.0.0.1/32; };
        options {
           //(其他參數略...)
           // Recursive Name Server
           allow-query { nthu-nets; };
        };
    2. Authoritative DNS 伺服器請用 DNS 應用軟體(如:BIND)的功能來限制遞迴查詢權限(recursive query),如:BIND 設定的 recursion no,詳參考資料
      options {
         //(其他參數略...)
         // Authoritative-only Name Server
         recursion no;
         allow-query-cache { none; };
         allow-query { any; };
      };

BIND

A. 限制來源 IP 位址

適用 Caching recursive DNS 伺服器,以 ACL (access control list) 限制使用者來源 IP 位址,設定方式詳:BIND 設定的 acl 及 allow-query,以下為設定檔 named.conf 相關參數。

acl nthu-nets { 140.114.0.0/16; 127.0.0.1/32; };
options {
   //(其他參數略...)
   // Recursive Name Server
   allow-query { nthu-nets; };
};

B. 限制遞迴查詢權限

適用Authoritative DNS 伺服器,設定限制遞迴查詢權限(recursive query),詳:BIND 設定的 recursion no,以下為設定檔 named.conf 相關參數。

options {
   //(其他參數略...)
   // Authoritative-only Name Server
   recursion no;
   allow-query-cache { none; };
   allow-query { any; };
};

Windows 2008

A. 停止 DNS 伺服器的作法

  1. 由「開始」/「控制台」/「系統管理工具」/「伺服器管理員」視窗,如下圖,選擇「DNS伺服器」,選擇「停止」。

B. 僅關閉遞迴查詢權限(recursive query)的作法

  1. 由「開始」/「控制台」/「系統管理工具」/「伺服器管理員」視窗,如下圖,選擇「DNS伺服器」,選擇「DNS」、主機名,選擇「內容」。
  2. 由「內容」視窗,如圖,選擇「進階」,勾選「停用遞迴(同時停用轉寄站)」。

Windows 7

A. 關閉Windows 7(ICS)服務,防止 DNS 服務

B. 以防火牆阻斷 DNS 服務

C. 找出 DNS 服務之對應程式並關閉之

  1. 以系統管理員身份執行 cmd 程式,如下圖
  2. 執行 netstat -ab -p UDP 指令,以下方框為例,找出 UDP 0.0.0.0:53 (表提供 DNS 服務)這行資訊,則其對應的元件為 XXXXX,程式為 [yyyy.exe]。
    C:\Windows\system32>netstat -ab -p UDP
    
    使用中連線
    
      協定   本機位址               外部位址               狀態
      UDP    0.0.0.0:500            *:*
      IKEEXT
     [svchost.exe]
    ...
      UDP    0.0.0.0:53             *:*
      XXXXX
     [yyyyy.exe]
    ...
    • 以下圖為例,元件 SharedAccess,程式 svchosts.exe 造成 DNS 服務開啟。請使用者自行判斷是否能停止該程式及其設定方式。

網路設備

{{wiki:notice.png}}有些網路設備(如:無線網路閘道器、IP分享器、或路由器)本身可能具有 open DNS resolver 問題,需適當調整設定或以防火牆來處理,由於網路設備的類型繁多,若您知悉某裝置該如何處理,歡迎提供設備廠牌、型號、軟(韌)體版本、及其設定方式的畫面,寄至 mucheng :AT: cc.nthu.edu.tw,以利製成以下網頁,嘉惠眾人,格式及文字可參考以下作法,謝謝!

Bluesocket 網路設備

PCI 網路設備

PQI 網路設備

SAPIDO 網路設備

ZyXEL 網路設備

防火牆用法

# dig @140.114.63.1 google.com

; <<>> DiG 9.3.6-P1 <<>> @140.114.63.1 google.com
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached
# dig @140.114.63.1 google.com

; <<>> DiG 9.3.6-P1 <<>> @140.114.63.1 google.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 741
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             116     IN      A       173.194.72.101
google.com.             116     IN      A       173.194.72.100
google.com.             116     IN      A       173.194.72.113
google.com.             116     IN      A       173.194.72.102
google.com.             116     IN      A       173.194.72.138
google.com.             116     IN      A       173.194.72.139

;; AUTHORITY SECTION:
google.com.             156701  IN      NS      ns4.google.com.
google.com.             156701  IN      NS      ns1.google.com.
google.com.             156701  IN      NS      ns2.google.com.
google.com.             156701  IN      NS      ns3.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.         156702  IN      A       216.239.32.10
ns2.google.com.         156702  IN      A       216.239.34.10
ns3.google.com.         156703  IN      A       216.239.36.10
ns4.google.com.         156702  IN      A       216.239.38.10

;; Query time: 35 msec
;; SERVER: 140.114.63.1#53(140.114.63.1)
;; WHEN: Wed Apr 17 14:54:15 2013
;; MSG SIZE  rcvd: 260

參考資料