Stäng alla öppna namnservrar – Internetdagarna .FILE
Köp nu

23-24 november 2020

Köp nu

Endast 500 kr/dag (exkl. moms)

Stäng alla öppna namnservrar

Här kommer en utmaning till er som ansvarar för driften av namnservrarna för er domän. Se till att stänga alla öppna rekursiva namnservrar. En öppen rekursiv namnserver svarar inte bara på frågor som den själv är ansvarig för, till exempel från sitt lokala nätverk (som den borde) utan går också vidare och frågar andra namnservrar för att ta reda på svaret. Frågandet är arbetskrävande (tar datorkapacitet i anspråk) och kan även resultera i relativt stora mängder data, vilket gör att man i normalfallet vill begränsa vem som får använda funktionen rekursion.

Den som tar emot svaret utgör målet för attacken

En server som är öppen för rekursion kan också komma att utnyttjas i en Denial of Service-attack, eller överbelastningsattack. Det går till så att den rekursiva namnservern som får en DNS-fråga svarar till den dator som förmodas ha ställt frågan. Tricket är förstås att den dator som tar emot svaret i själva verket utgör målet för attacken, det var inte den som ställde frågan. Adressen som frågan påstås komma från är förfalskad (det som i engelskan kallas för spoofing).

Det är enkelt att stänga av en rekursiv resolver

Namnservrar ska alltså inte svara på rekursiva frågor om din domän från vem som helst. Öppna rekursiva namnservrar utgör en allvarlig risk och är ett problem för Internet som helhet och har mycket få legitima användningsområden. Skulle operatörerna filtrera på avsändaradresser så skulle vi inte behöva oroa oss för alla öppna rekursiva resolvrar. Men eftersom sådan filtrering är relativt svår och kostsam att införa, så kommer det att ta tid, och under tiden måste vi försöka göra vad vi kan tills dess att operatörerna har klarat av att åtgärda grundproblemet. Att stänga en rekursiv resolver är en enkel uppgift som det är värt att göra då det hjälper till att lindra de problem som uppstår vid överbelastningsattacker.

2008 var 22% öppna – ser fram emot 0 procent

Det enklaste sättet att stänga en rekursiv resolver är att lägga till en rad i konfigurationsfilen. Vid de undersökningar om Hälsoläget i .SE som jag har ansvarat för de senaste två åren, kan vi glädjande nog se att det sker en förbättring. 2007 var hela 40 procent av de undersökta namnservrarna öppet rekursiva, 2008 var den siffran glädjande nog mycket lägre och hade sjunkit till 22 procent. Jag hoppas innerligt att den trenden fortsätter!

Slutligen, ett tips till IT-chefen på Myndigheten för samhällsskydd och beredskap: Om du vill veta om ni har resolvrar som är öppna för rekursion så kan du testa det på Kaminskybuggen. Det är fritt att testa för alla er andra också. Vid Internetdagarna i höst kommer vi att redovisa Hälsoläget 2009, då vill jag att siffran ska ha närmat sig 0 procent. Det är utmaningen som ni borde anta.