Jeg har bemærket en bekymrende tendens for nylig: et stigende antal personer har deres Port 53 udsat på deres hjemmesider. Men jeg har svært ved at forstå motiverne bag denne praksis. Hvorfor skulle nogen ville bruge min DNS-server? Det rejser mange sikkerhedsproblemer, da sådan adgang potentielt kan udnyttes til forskellige ondsindede formål, herunder blokering af adgang til bestemte websider, overvågning af brugeraktivitet og endda oprettelse af phishing-websites. Jeg spekulerer på risikoen involveret, og om DNS-udbyderen selv kan blive kompromitteret i processen. Kan nogen kaste lys over dette?
Du kan også blive en åben resolver. Det hjælper mod ddos-angreb, da det giver en anden IP-adresse end angriberen. Den eneste effekt på dig er, at dine serverressourcer bliver meget høje.
For at angribe andre netværk (for det meste DDOS tror jeg)
I praksis, hvis du er heldig, vil du også modtage anmodninger fra gråhatte med forespørgsler som “yourDNSisBadlySecuredPleaseClosePort53.lan” eller lignende blandt de dårlige ting.
(Enhver person legitimt behøver en ikke-erstatnings-DNS-resolver, ville blot hoste Unbound.)
Jeg er nysgerrig på risiciene og om DNS-udbyderen kan blive kompromitteret i processen.
Meget lille chance for at blive kompromitteret, da en åben resolver stort set er en aktiv cybervåben for enhver ondsindet bruger, og du lod adgangen være selv.
Enhver hacker, der finder din server, vil hellere bruge den til at forårsage juridiske forhindringer, frem for direkte at angribe dig. Du dræber ikke den gyldne ægge-søge.
På den anden side vil dit lands lovhåndhævelse undre sig over, hvorfor du bevidst har reduceret sikkerheden af dit netværk, mens du ved, at hackere vil bruge dit netværk til at krænke loven…
DNS er i sig selv usikkert, og hvis du vil bruge DNS udefra, skal du have en form for autentifikation, som fx at køre en VPN-server derhjemme, så kun folk med de rigtige certifikater kan få adgang til dit netværk.
De gør det ikke. Det, de vil, er at få din DNS-server til at sende en masse falske DNS-responser og DoS’e dem.
Det kaldes et DNS-forstærkningsangreb. De kan sende en relativt lille pakke til dig og forfalske, hvem den kommer fra, så du sender en masse pakker til den falske kilde. Den falske kilde modtager nu en masse trafik, de ikke var forberedt på.
Hvis du kører en tjeneste, skal du forstå brugerne, der vil bruge den.
Hvis du åbner dit hjem for verden, er det kun et spørgsmål om tid, før nogen prøver at scriptkidder eller, i værste tilfælde, prøver at stjæle dine data, adgangskoder og hemmeligheder for at tjene penge.
Jeg har en tjeneste, der er åben for verden derhjemme, men
den kører i en isoleret container
den er read-only nginx, der serverer statiske filer
den er statisk hosting derhjemme, fuldt ud cachet af Cloudflare, og kun 1% af brugerne rørte den webserver
hvis serveren går ned, serverer Cloudflare stadig statiske filer (godt at gætte hvor længe Cloudflare opbevarer sådant på CDN-cache, da dette kan blive en måde at spare penge for cloud-brugere)
PiVPN spørger dig bogstaveligt talt under installationen “Hey, du har PiHole installeret her også. Vil du bruge det som din VPN’s DNS, så du får adblocker på farten?”
Den eneste effekt på dig er, at dine serverressourcer bliver meget høje, men
Plus, afhængigt af dit land, kan det forårsage juridiske undersøgelser om, hvorfor du giver ressourcer til cyber-angribere. I hvert fald i mit land er det et lovkrav at give “rimelig” sikkerhed til dit netværk, før du kan kalde dig et andet offer.
[EDIT] Som et ekstremt eksempel blev en person i Frankrig dømt for copyright-overtrædelse… fordi hans kone torrentede. Dommeren vurderede, at den reelle skyldige var manden, der ikke tjekkede, hvad konen lavede i sit hjem.
[END EDIT]
Det hjælper med ddos-angreb, da det er en anden IP-adresse end angriberen.
Mere end det. Fordi DNS er dårligt sikret, tillader det at udføre FORSTÆRKNING. Angriberen beder din Pi-hole om en lille anmodning med et stort svar, men forfalsker returneringen til at pege på en anden server. (De fleste DNS bruger UDP, og det kræver kun envejs-kommunikation.)
Som et resultat sender angriberen en lille anmodning, og målet får et stort svar tilbage. Det forstærker deres kapacitet ud over grænsen af deres egen båndbredde.
Wieso seltsam? 53,139 og 443 er åbne, min underbo har sat det op… derudover også 53, 445 og 5060… siger det noget? Kan det have noget at gøre med Starlink-antennen med FRITZ!Box over w lan?
Også din internetudbyder kan tage dit modem offline, hvis de får klager. Her kalder Cox Cable det deres “Walled Garden,” og det gør din forbindelse temmelig værdiløs, indtil du får løst problemerne og beder dem om at lukke den op igen.