Menu

🐧DNS SAD缓存中毒:Linux服务器和台式机的临时修订

DNS缓存中毒的新威胁是侧信道AttackeD DNS(SAD DNS)。

此新攻击的工作方式如下:SAD DNS使黑客能够将发往特定域的流量重定向到他们控制下的服务器。

借助这种攻击,他们可以轻松监视您的流量。

这种网络侧通道攻击可能对用户和企业都造成严重的安全隐患,即使您的 德国的服务器

这个新漏洞影响Linux(内核3.18-5.10),Windows Server 2019(版本1809)和更高版本,macOS 10.15和更高版本,FreeBSD 12.1.0和更高版本。

让我向您展示如何在Linux计算机和服务器上部署BlueCat脚本,以便在DNS服务器供应商解决问题之前可以避免出现问题。

你需要什么

  • 访问在您的网络上使用DNS的Linux机器
  • 具有sudo特权的用户

如何使用脚本

BlueCat生成的脚本实际上非常简单,如下所示:

#!/usr/bin/env bash
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS
# OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
# FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
# AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
# LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
# OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
# THE SOFTWARE.
###########################################################################  
#
# Three options for installation. Choose one of the following:
#
# 1. Copy to /etc/cron.minutely
#
# 2. Copy the script to the DNS server. Create a file in /etc/cron.d with
#    the following syntax:
#
#    * * * * *root    /path/to/icmp_ratelimit.sh >/dev/null 2>&1
#
# 3. Create a user cron entry while using `crontab -e`
#
#    * * * * * /path/to/icmp_ratelimit.sh >/dev/null 2>&1
#
# - Change "/path/to" to match the exact location of the script.
# - Finally, make sure it is executable: chmod +x /path/to/icmp_ratelimit.sh
#
seconds="60"
while [[ ${seconds} -gt 0 ]]
do
     echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv4/icmp_ratelimit
     echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv6/icmp_ratelimit
    sleep .95
done

注意。 BlueCat可以更新脚本以包括IPv6。 请务必查看其官方GitHub页面,以获取对该脚本的进一步更新。

该脚本将与即将发布的Linux补丁相同,并随机化速率限制。

更具体地说,用BlueCat软件安全总监David Maxwell的话来说:

“脚本大致相当于10月16日进行的Linux内核更改。 每秒一次,它为ICMP响应设置了新的随机限制,介于500-1500 / s之间。 它将在运行Linux 2.4.10的系统上运行。 或更高版本的“。

使用以下命令创建此脚本:

sudo nano /usr/local/bin/icmp_ratelimit.sh

将脚本内容粘贴到新文件中,然后保存/关闭文件。 使用以下命令授予文件可执行权限:

sudo chmod u+x /usr/local/bin/icmp_ratelimit.sh

脚本准备就绪后,我们现在创建一个cron作业来使用它。 使用以下命令创建新的日常cron作业:

sudo crontab -e

在此文件的底部,粘贴以下内容:

*/10 * * * * flock -xn /root/.icmpratelimit-lock -c /usr/local/bin/icmp_ratelimit.sh

保存并关闭文件。

确保在所有Linux机器上都注意这一点。

结论

这里的所有都是它的。

您的Linux服务器和台式机必须在指定的时间受到SAD DNS的保护,因为DNS供应商已永久修复,否则Linux内核将被正式打补丁以防御此攻击。

近期更新

Sidebar