Download_Link
Участник клуба
Появилась новая угроза отравления кеша DNS, которая носит название Side-channel AttackeD DNS (SAD DNS).
Эта новая атака работает следующим образом: SAD DNS позволяет хакерам перенаправлять трафик, предназначенный для определенного домена, на сервер под их контролем.
С помощью этой атаки они могут легко шпионить за вашим трафиком.
Это атака по побочным каналам сети может быть с серьезными последствиями для безопасности как пользователей, так и предприятий.
Этот новый недостаток затрагивает операционные системы Linux (ядро 3.18-5.10), Windows Server 2019 (версия 1809) и новее, macOS 10.15 и новее, FreeBSD 12.1.0 и новее.
Позвольте мне показать вам, как развернуть скрипт от BlueСat на ваших компьютерах и серверах Linux, чтобы вы могли избежать проблем, пока поставщики DNS-серверов не решат проблему.
Что вам понадобится
Скрипт, созданный BlueCat, на самом деле довольно прост и выглядит так:
echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv4/icmp_ratelimit
echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv6/icmp_ratelimit
sleep .95
done
Примечание. BlueCat может обновлять скрипт для включения IPv6. Не забудьте проверить их официальную страницу GitHub, чтобы узнать о дальнейших обновлениях этого скрипта.
Скрипт будет делать то же, что и предстоящий патч Linux, и рандомизировать ограничение скорости.
Чтобы быть более конкретным, по словам Дэвида Максвелла, директора по безопасности программного обеспечения в BlueCat:
«Скрипт примерно эквивалентен изменению ядра Linux, совершенному 16 октября. Один раз в секунду он устанавливает новый рандомизированный предел для ответов ICMP, между 500-1500/с. Он будет работать в системах с ядром Linux версии 2.4.10. или новее “.
Создайте этот скрипт с помощью команды:
sudo nano /usr/local/bin/icmp_ratelimit.sh
sudo nano /usr/local/bin/icmp_ratelimit.sh
Вставьте содержимое скрипта в новый файл и сохраните/закройте файл.
Дайте файлу права на исполнение с помощью команды:
sudo chmod u+x /usr/local/bin/icmp_ratelimit.sh
Когда скрипт будет готов, давайте теперь создадим задание cron для его использования.
Создайте новое ежедневное задание cron с помощью команды:
sudo crontab -e
Внизу этого файла вставьте следующее:
*/10 * * * * flock -xn /root/.icmpratelimit-lock -c /usr/local/bin/icmp_ratelimit.sh
Сохраните и закройте файл.
Обязательно позаботьтесь об этом на всех своих машинах с Linux.
Заключение
Это все, что нужно сделать.
Ваши серверы и рабочие столы Linux должны быть защищены от SAD DNS до указанного времени, поскольку у поставщиков DNS есть постоянное исправление или ядро Linux официально будет исправлено от этой атаки.
Эта новая атака работает следующим образом: SAD DNS позволяет хакерам перенаправлять трафик, предназначенный для определенного домена, на сервер под их контролем.
С помощью этой атаки они могут легко шпионить за вашим трафиком.
Это атака по побочным каналам сети может быть с серьезными последствиями для безопасности как пользователей, так и предприятий.
Этот новый недостаток затрагивает операционные системы Linux (ядро 3.18-5.10), Windows Server 2019 (версия 1809) и новее, macOS 10.15 и новее, FreeBSD 12.1.0 и новее.
Позвольте мне показать вам, как развернуть скрипт от BlueСat на ваших компьютерах и серверах Linux, чтобы вы могли избежать проблем, пока поставщики DNS-серверов не решат проблему.
Что вам понадобится
- Доступ к машинам Linux, которые используют DNS в вашей сети
- Пользователь с привилегиями sudo
Скрипт, созданный BlueCat, на самом деле довольно прост и выглядит так:
echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv4/icmp_ratelimit
echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv6/icmp_ratelimit
sleep .95
done
Примечание. BlueCat может обновлять скрипт для включения IPv6. Не забудьте проверить их официальную страницу GitHub, чтобы узнать о дальнейших обновлениях этого скрипта.
Скрипт будет делать то же, что и предстоящий патч Linux, и рандомизировать ограничение скорости.
Чтобы быть более конкретным, по словам Дэвида Максвелла, директора по безопасности программного обеспечения в BlueCat:
«Скрипт примерно эквивалентен изменению ядра Linux, совершенному 16 октября. Один раз в секунду он устанавливает новый рандомизированный предел для ответов ICMP, между 500-1500/с. Он будет работать в системах с ядром Linux версии 2.4.10. или новее “.
Создайте этот скрипт с помощью команды:
sudo nano /usr/local/bin/icmp_ratelimit.sh
sudo nano /usr/local/bin/icmp_ratelimit.sh
Вставьте содержимое скрипта в новый файл и сохраните/закройте файл.
Дайте файлу права на исполнение с помощью команды:
sudo chmod u+x /usr/local/bin/icmp_ratelimit.sh
Когда скрипт будет готов, давайте теперь создадим задание cron для его использования.
Создайте новое ежедневное задание cron с помощью команды:
sudo crontab -e
Внизу этого файла вставьте следующее:
*/10 * * * * flock -xn /root/.icmpratelimit-lock -c /usr/local/bin/icmp_ratelimit.sh
Сохраните и закройте файл.
Обязательно позаботьтесь об этом на всех своих машинах с Linux.
Заключение
Это все, что нужно сделать.
Ваши серверы и рабочие столы Linux должны быть защищены от SAD DNS до указанного времени, поскольку у поставщиков DNS есть постоянное исправление или ядро Linux официально будет исправлено от этой атаки.