Cómo mitigar temporalmente Sad DNS para servidores y escritorios Linux


Jack Wallen lo guía a través del proceso de implementación de una solución temporal contra Sad DNS para sus servidores y escritorios Linux.

Hacker atacando internet

Imagen: xijian / Getty Visuals

Hay una nueva amenaza de envenenamiento de la caché de DNS en la ciudad y se conoce con el nombre de DNS AttackeD de canal lateral (Sad DNS). Este nuevo ataque funciona así: Unhappy DNS hace posible que los piratas informáticos desvíen el tráfico destinado a un dominio específico a un servidor bajo su regulate. Con este ataque, pueden espiar fácilmente su tráfico. Este es un ataque de canal lateral de red armado con graves implicaciones de seguridad tanto para los usuarios como para las empresas.

Esta nueva falla afecta a los sistemas operativos Linux (kernel 3.18-5.10), Home windows Server 2019 (versión 1809) y posteriores, macOS 10.15 y posteriores, y FreeBSD 12.1. y posteriores.

Gato azul, una solución DDI impulsada por software program, se acercó a mí sobre este problema, principalmente porque la solución temporal sugerida para deshabilitar los paquetes ICMP tenía un poco más de matices. A ese problema, un representante de BlueCat dijo:

«Si un servidor DNS tiene ICMP bloqueado por completo, las transferencias de zona podrían fallar, si hay un salto con una MTU más pequeña (el bloqueo de ICMP provoca un agujero negro de PMTUD) entre él y el otro servidor».

BlueCat indicó que habría problemas con la fragmentación de IPv6.

BlueCat también me informó sobre una solución temporal para servidores y escritorios Linux. La solución está en forma de un script very simple que se puede emplear fácilmente. Lo he probado y funciona.

Permítame mostrarle cómo implementarlo en sus escritorios y servidores Linux, para que pueda evitar problemas hasta que los proveedores de servidores DNS resuelvan el problema.

VER: Comandos de manage de servicios de Linux (TechRepublic High quality)

Lo que necesitarás

Cómo usar el guión

El guión creado por BlueCat es bastante easy y se ve así:

#!/usr/bin/env bash
#
# THE Software package IS Presented "AS IS", Without the need of Guarantee OF ANY Sort, Express
# OR IMPLIED, Which includes BUT NOT Confined TO THE WARRANTIES OF MERCHANTABILITY,
# Physical fitness FOR A Certain Objective AND NONINFRINGEMENT. IN NO Party SHALL THE
# AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY Declare, DAMAGES OR OTHER
# Liability, Regardless of whether IN AN Action OF Agreement, TORT OR In any other case, ARISING FROM,
# OUT OF OR IN Relationship WITH THE Application OR THE USE OR OTHER DEALINGS IN
# THE Computer software.
###########################################################################  
#
# A few choices for set up. Choose one particular of the adhering to:
#
# 1. Copy to /etc/cron.minutely
#
# 2. Copy the script to the DNS server. Develop a file in /etc/cron.d with
#    the next syntax:
#
#    * * * * *root    /path/to/icmp_ratelimit.sh >/dev/null 2>&1
#
# 3. Develop a consumer cron entry although making use of `crontab -e`
#
#    * * * * * /route/to/icmp_ratelimit.sh >/dev/null 2>&1
#
# - Improve "/path/to" to match the specific spot of the script.
# - Eventually, make sure it is executable: chmod +x /route/to/icmp_ratelimit.sh
#
seconds="60"
whilst (( $seconds -gt  ))
do
    echo $((500 + $RANDOM % 1500)) > /proc/sys/internet/ipv4/icmp_ratelimit
    sleep .95
    allow seconds=seconds-1
finished

Nota: BlueCat puede estar actualizando el script para incluir IPv6. Asegúrese de comprobar su página oficial de GitHub para obtener más actualizaciones de este script.

El script hará exactamente lo que hará el próximo parche de Linux y aleatorizará el límite de velocidad. Para ser más específico, según David Maxwell, director de seguridad de program de BlueCat:

«El script es aproximadamente equivalente al cambio del kernel de Linux realizado el 16 de octubre. Una vez por segundo, establece un nuevo límite aleatorio en las respuestas ICMP, entre 500-1500 / s. Funcionará en sistemas con la versión 2.4.10 del kernel de Linux. o mas nuevo.»

Cree este script con el comando:

sudo nano /usr/nearby/bin/icmp_ratelimit.sh

Pegue el contenido del script en el nuevo archivo y guarde / cierre el archivo. Otorgue permisos ejecutables al archivo con el comando:

sudo chmod u+x /usr/nearby/bin/icmp_ratelimit.sh

Con el script listo, creemos ahora un trabajo cron para usarlo. Cree un nuevo script cron diario con el comando:

sudo /and so on/cron.d/icmp_ratelimit

En ese archivo, pegue lo siguiente:

* * * * * root    /path/to/icmp_ratelimit.sh >/dev/null 2>&1

Guarde y cierre el archivo.

Asegúrese de ocuparse de lo anterior en todas sus máquinas Linux.

Eso es todo al respecto. Sus servidores y escritorios de Linux deben estar a salvo de Unhappy DNS hasta dicho momento, ya que los proveedores de DNS tienen una solución permanente, o el kernel de Linux está oficialmente parcheado contra el ataque.

Suscríbase a Cómo hacer que la tecnología funcione en YouTube de TechRepublic para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.

Ver también



Enlace a la noticia unique