公司DNS遭攻擊可能產生的風險相關疑問(如何判斷Sever有沒有被駭客拿下)

駭客木馬程式病毒防火牆 windows server 資訊安全惡意程式網路安全攻擊資訊安全

r76021061 2015-10-02 10:52:59 ‧ 6299 瀏覽

就是阿我們公司DNS Sever是躲在防火牆(fortigate 60d)之後所以不會有來自外部的攻擊但遭到內部的某一台電腦發動DOS攻擊，我GOOGLE了一下，DNS擁有特權可以自由進出防火牆所以是駭客很喜歡攻擊的目標。
1.這樣會造資料洩密的問題嗎?
2.更重要的是如何判斷Sever有沒有被駭客拿下?
我掃了一個公司的NAS與FIle sever竟然抓到50多隻木馬這很嚴重嗎?因為我在學校不是專研資安的，還請各位大哥大姐不吝指教

看更多先前的討論...收起先前的討論...

外獅佬 iT邦大師 1 級 ‧ 2015-10-02 10:58:35 檢舉

r76021061提到：
如何判斷Sever有沒有被駭客拿下?

看看有沒有被插旗

Tsuna Lu iT邦新手 3 級 ‧ 2015-10-02 11:36:59 檢舉

r76021061提到：
掃了一個公司的NAS與FIle sever竟然抓到50多隻木馬這很嚴重嗎?

換個角度問問，如果你家有50多個人在挖你的檔案櫃...你認為嚴不嚴重?(冷汗

aeolus0829 iT邦研究生 4 級 ‧ 2015-10-02 13:17:12 檢舉

r76021061提到：
DNS擁有特權可以自由進出防火牆所以是駭客很喜歡攻擊的目標。

我很好奇這一段是在哪看到的？可以提供一下關鍵字或連結嗎？

因為我對DNS的原理和架構算有看過資料，DNS不過是將網址解析成 IP 的工具，所謂自由進出防火牆以我的了解，是外部在問說，

1. 這個 dns 是誰負責的 (root server 回應：是A家的 dns server)
2. (對A家的 dns server 問)這個 dns 的 IP 是什麼？ (所以防火牆必須能接收到 dns query)
3. 這個 dns 的 IP 是 x.x.x.x (所以 dns server 必須要具備回應 query 也就是連線到外部
的能力)
4. 結束，剩下的事就和 dns server 無關了

由以上敘述你應該可以看的出來，一部正常的 dns server 只會回答問題，而為了要回答問題，會有限定的擁有存取內外網的能力，沒有什麼特權

那什麼叫不正常的 dns server？就是你的 dns 因為某些漏洞沒有補，致外部連線進入，取得管理員權限，你的 dns server 就歸駭客管，這種狀況，才會比較接近你所講的
"DNS擁有特權可以自由進出防火牆所以是駭客很喜歡攻擊的目標。"
但這不是 dns 的錯，嚴格說起來是管理員疏於照顧的錯

一部正常維護的 dns 不致於那麼容易攻陷 (除非遇到天才型或國家級駭客)

與其擔心這些還是去爬一下文把 dns 的基本安全照顧好比較重要

比如說不要開遞迴查詢給外部...

外獅佬 iT邦大師 1 級 ‧ 2015-10-02 13:21:05 檢舉

DDOS攻擊，關DNS什麼事呢？

michaelwan iT邦高手 1 級 ‧ 2015-10-02 14:10:25 檢舉

內部的某一台電腦發動DOS攻擊

一台DOS很難搞掉一台伺服器, 如果DNS設置在DMZ中, 更是不可能.

ayu iT邦好手 2 級 ‧ 2015-10-02 15:46:46 檢舉

您的提問本身就有好多疑點啊!

資安實務需要相當的認知和經驗累積,
看到黑影就開槍, 無的放矢絕對是大忌!

當前狀況必須由資深前輩來觀察與處理,
你可以跟著學習, 建立該有的認知與觀念, 不宜妄下判斷.

r76021061 iT邦新手 3 級 ‧ 2015-10-02 15:53:37 檢舉

QQ本公司只有我一個IT沒有前輩，所以我才問如此大膽的假設

r76021061 iT邦新手 3 級 ‧ 2015-10-02 15:56:00 檢舉

一般來說，使用UDP的DNS服務，都是透過單向的方式傳輸封包，而且，所有的網路防火牆也都會允許這樣的連線從53埠進出，不會也無法特別採取管制措施。F5 Networks臺灣暨香港區技術總監莊龍源表示，駭客之所以喜歡攻擊DNS，原因即在此。

http://www.ithome.com.tw/tech/87819

r76021061 iT邦新手 3 級 ‧ 2015-10-02 15:58:21 檢舉

DNS上面的防毒軟體抓到的每天都在響警報

r76021061 iT邦新手 3 級 ‧ 2015-10-02 16:00:17 檢舉

ORZ

外獅佬 iT邦大師 1 級 ‧ 2015-10-02 16:03:08 檢舉

那你在怕什麼？
俗話說得好：抓得到沒事，有事的都是沒抓到的

r76021061 iT邦新手 3 級 ‧ 2015-10-02 16:17:29 檢舉

開心~

林門神JanusLin iT邦超人 1 級 ‧ 2015-10-02 17:27:34 檢舉

這個人我認識喔 !
他叫做iT邦幫忙的 [匿名]

^^

外獅佬 iT邦大師 1 級 ‧ 2015-10-02 17:43:02 檢舉

januslin提到：
iT邦幫忙的 [匿名]

..這兩個等級應該差滿多的

總裁 iT邦好手 1 級 ‧ 2015-10-04 14:36:47 檢舉

對呀，長的不太像耶....

zyman2008 iT邦大師 6 級 ‧ 2015-10-05 13:19:16 檢舉

另一種簡單的方式是,做風險轉嫁.
不要再自己架對外的DNS了,直接使用DNS服務商的DNS hosting服務.

林門神JanusLin iT邦超人 1 級 ‧ 2015-10-05 15:03:29 檢舉

人家的匿名
面相比較威 XD

ayu iT邦好手 2 級 ‧ 2015-10-06 02:37:01 檢舉

這也是很多公司的困難, 甚至沒有IT而由稍懂網路的人員兼任.
如果server需對外服務, 那麼即使在防火牆之內, 終歸要開ports讓外界可以連線的吧,
不要有了防火牆就很安全的聯想, 只要安全政策錯了, 再怎麼更新到最新版本也是一樣的!
aeolus0829大已解釋很清楚.
cracker喜歡打DNS是因為其UDP特性, 正如你的貼文網址解釋的那樣, 跟特權什麼的無關.
雞婆提醒千萬別把 NAS/file server 放外網, 去年可是有某牌NAS可被輕易破解植入惡意程式轉職為僵屍的喲!!
找一下 NAS/file server 管理介面有無防毒app, 安裝起來多少可阻絕掉部份木馬.
木馬程式需要適合的OS當宿主才能執行及發揮作用.

wlhfor1974 iT邦新手 3 級 ‧ 2015-10-30 12:01:35 檢舉

...那台內部電腦只是變成疆屍電腦的一員,疆屍電腦是一群.DDOS不會只有1台在打的,只是沒打你們你們沒感覺而已~之前歐洲被DDOS打到4百多G

wlhfor1974 iT邦新手 3 級 ‧ 2015-10-30 12:24:46 檢舉

一般來說，使用UDP的DNS服務，都是透過單向的方式傳輸封包，而且，所有的網路防火牆也都會允許這樣的連線從53埠進出，不會也無法特別採取管制措施。
-->不是防火牆允許,這都是人為設定進去的,預設不會有的= =

他說，UDP的封包和協定根本沒辦法讓用戶或主機去確認對方發過來的封包身分，所以很容易可以做到DNS洪水攻擊，或是其他類型的攻擊。
-->任何用UDP的都是一樣的特性,不是只有DNS這樣= =

DNS之所以容易受到攻擊,除了本身DNS協定的問題外,一般資訊人員很容易忽略DNS的資安防護,才是駭客喜歡摸進DNS的原因..

如aeolus0829大大所說,做好DNS的資安防護比較重要,給別人代管不見得安全..某家代理的DNS zone transfer是沒限制的...資料都被看光了,很多人可能還不知道...

登入發表討論