SA DNS SAD緩存中毒:Linux服務器和台式機的臨時修訂

有一種新的DNS緩存中毒威脅,稱為側信道AttackeD DNS(SAD DNS)。

此新攻擊的工作方式如下:SAD DNS使黑客能夠將發往特定域的流量重定向到他們控制下的服務器。

藉助這種攻擊,他們可以輕鬆監視您的流量。

這種旁道攻擊可能會對用戶和企業造成嚴重的安全隱患。

這個新缺陷影響Linux(內核3.18-5.10),Windows Server 2019(版本1809)和更高版本,macOS 10.15和更高版本,FreeBSD 12.1.0和更高版本。

讓我向您展示如何在Linux計算機和服務器上部署BlueCat腳本,以便在DNS服務器供應商解決問題之前可以避免出現問題。

你需要什麼

  • 訪問在您的網絡上使用DNS的Linux機器
  • 具有sudo特權的用戶

如何使用腳本

BlueCat生成的腳本實際上非常簡單,如下所示:

#!/usr/bin/env bash
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS
# OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
# FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
# AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
# LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
# OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
# THE SOFTWARE.
###########################################################################  
#
# Three options for installation. Choose one of the following:
#
# 1. Copy to /etc/cron.minutely
#
# 2. Copy the script to the DNS server. Create a file in /etc/cron.d with
#    the following syntax:
#
#    * * * * *root    /path/to/icmp_ratelimit.sh >/dev/null 2>&1
#
# 3. Create a user cron entry while using `crontab -e`
#
#    * * * * * /path/to/icmp_ratelimit.sh >/dev/null 2>&1
#
# - Change "/path/to" to match the exact location of the script.
# - Finally, make sure it is executable: chmod +x /path/to/icmp_ratelimit.sh
#
seconds="60"
while [[ ${seconds} -gt 0 ]]
do
     echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv4/icmp_ratelimit
     echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv6/icmp_ratelimit
    sleep .95
done

注意。 BlueCat可以更新腳本以包括IPv6。 請務必查看其官方GitHub頁面,以獲取對該腳本的進一步更新。

該腳本將與即將發布的Linux補丁相同,並隨機化速率限制。

更具體地說,用BlueCat軟件安全總監David Maxwell的話來說:

“腳本大致相當於10月16日對Linux內核進行的更改。 每秒一次,它為ICMP響應設置了新的隨機限制,介於500-1500 / s之間。 它將在運行Linux 2.4.10的系統上運行。 或更高版本的“。

使用以下命令創建此腳本:

sudo nano /usr/local/bin/icmp_ratelimit.sh

將腳本內容粘貼到新文件中,然後保存/關閉文件。 使用以下命令授予文件可執行權限:

sudo chmod u+x /usr/local/bin/icmp_ratelimit.sh

腳本準備就緒後,我們現在創建一個cron作業來使用它。 使用以下命令創建新的日常cron作業:

sudo crontab -e

在此文件的底部,粘貼以下內容:

*/10 * * * * flock -xn /root/.icmpratelimit-lock -c /usr/local/bin/icmp_ratelimit.sh

保存並關閉文件。

確保在所有Linux機器上都注意這一點。

結論

這裡的所有都是它的。

您的Linux服務器和台式機必須在指定的時間之前受到SAD DNS的保護,因為DNS供應商已永久修復,否則Linux內核將被正式打補丁以防禦此攻擊。

Sidebar