Information Security Squad

stay tune stay secure

  • Windows
  • Linux
  • Tools
  • Hack Shop
  • How To
  • Review
  • Feedback | Donate
  • IT IS GOOD
  • Home
  • 2020
  • Декабрь
  • 18
  • 🐧 Отравление кэша DNS SAD: временное исправление для серверов и настольных компьютеров Linux

🐧 Отравление кэша DNS SAD: временное исправление для серверов и настольных компьютеров Linux

cryptoparty - Закрытие уязвимостей, Скрипты
18.12.202018.12.2020 No Comments
DNS linux

Появилась новая угроза отравления кеша DNS, которая носит название Side-channel AttackeD DNS (SAD DNS).

Эта новая атака работает следующим образом: SAD DNS позволяет хакерам перенаправлять трафик, предназначенный для определенного домена, на сервер под их контролем.

С помощью этой атаки они могут легко шпионить за вашим трафиком.

Это атака по побочным каналам сети может быть с серьезными последствиями для безопасности как пользователей, так и предприятий, даже если ваши серверы в Германии

Этот новый недостаток затрагивает операционные системы Linux (ядро 3.18-5.10), Windows Server 2019 (версия 1809) и новее, macOS 10.15 и новее, FreeBSD 12.1.0 и новее.

Позвольте мне показать вам, как развернуть скрипт отBlueСat на ваших компьютерах и серверах Linux, чтобы вы могли избежать проблем, пока поставщики DNS-серверов не решат проблему.

Что вам понадобится

  • Доступ к машинам Linux, которые используют DNS в вашей сети
  • Пользователь с привилегиями sudo

Как пользоваться скриптом

Скрипт, созданный BlueCat, на самом деле довольно прост и выглядит так:

#!/usr/bin/env bash
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS
# OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
# FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
# AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
# LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
# OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
# THE SOFTWARE.
###########################################################################  
#
# Three options for installation. Choose one of the following:
#
# 1. Copy to /etc/cron.minutely
#
# 2. Copy the script to the DNS server. Create a file in /etc/cron.d with
#    the following syntax:
#
#    * * * * *root    /path/to/icmp_ratelimit.sh >/dev/null 2>&1
#
# 3. Create a user cron entry while using `crontab -e`
#
#    * * * * * /path/to/icmp_ratelimit.sh >/dev/null 2>&1
#
# - Change "/path/to" to match the exact location of the script.
# - Finally, make sure it is executable: chmod +x /path/to/icmp_ratelimit.sh
#
seconds="60"
while [[ ${seconds} -gt 0 ]]
do
     echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv4/icmp_ratelimit
     echo $((500 + ${RANDOM} % 1500)) > /proc/sys/net/ipv6/icmp_ratelimit
    sleep .95
done

Примечание. BlueCat может обновлять скрипт для включения IPv6. Не забудьте проверить их официальную страницу GitHub, чтобы узнать о дальнейших обновлениях этого скрипта.

Скрипт будет делать то же, что и предстоящий патч Linux, и рандомизировать ограничение скорости.

Чтобы быть более конкретным, по словам Дэвида Максвелла, директора по безопасности программного обеспечения в BlueCat:

«Скрипт примерно эквивалентен изменению ядра Linux, совершенному 16 октября. Один раз в секунду он устанавливает новый рандомизированный предел для ответов ICMP, между 500-1500/с. Он будет работать в системах с ядром Linux версии 2.4.10. или новее “.

Создайте этот скрипт с помощью команды:

sudo nano /usr/local/bin/icmp_ratelimit.sh
Вставьте содержимое скрипта в новый файл и сохраните/закройте файл.
Дайте файлу права на исполнение с помощью команды:
sudo chmod u+x /usr/local/bin/icmp_ratelimit.sh
Когда скрипт будет готов, давайте теперь создадим задание cron для его использования.
Создайте новое ежедневное задание cron с помощью команды:
sudo crontab -e

Внизу этого файла вставьте следующее:

*/10 * * * * flock -xn /root/.icmpratelimit-lock -c /usr/local/bin/icmp_ratelimit.sh

Сохраните и закройте файл.

Обязательно позаботьтесь об этом на всех своих машинах с Linux.

Заключение

Это все, что нужно сделать.

Ваши серверы и рабочие столы Linux должны быть защищены от SAD DNS до указанного времени, поскольку у поставщиков DNS есть постоянное исправление или ядро Linux официально будет исправлено от этой атаки.

 

 

Навигация по записям

🐧 Как установить права на все каталоги 755 и все файлы 644
👥 Добавление, удаление и предоставление прав sudo пользователям Arch Linux

Related Articles

Arch Linux Astra Linux bash CentOS debian FreeBSD Kali linux linux Linux Mint MacOS networking nmap RHEL ubuntu unix

📜 Скрипты Bash для сканирования и мониторинга сети

cryptoparty - Скрипты
19.03.202119.03.2021 No Comments
Arch Linux Astra Linux CentOS debian devops Fedora FreeBSD Kali linux linux RHEL ubuntu

🐧 Как заблокировать и разблокировать несколько пользователей Linux

cryptoparty - Скрипты
03.03.2021 No Comments
antimalware malware powershell sandbox песчоница скрипт

🦟Как создать свою фейковую песочницу?

Martyshkin - Мануал, Скрипты
28.01.202114.02.2021 No Comments

Добавить комментарий Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Рубрики

  • Аудит ИБ (40)
  • Вакансии (9)
  • Закрытие уязвимостей (98)
  • Книги (25)
  • Мануал (1 832)
  • Медиа (66)
  • Мероприятия (36)
  • Мошенники (22)
  • Обзоры (675)
  • Обход запретов (31)
  • Опросы (3)
  • Скрипты (104)
  • Статьи (272)
  • Философия (64)
  • Юмор (17)

Метки

android Apache Arch Linux Astra Linux backup bash bruteforce CentOS debian devops DNS docker Fedora firewall FreeBSD Kali linux Kubernetes linux Linux Mint MacOS malware network Nginx nmap OpenSSL Password pentest powershell proxy python RHEL scanner ssh SSL TLS tor ubuntu unix VPN web security windows wordpress САВЗ резервное копирование шифрование

Наш Telegram

Социальные сети

Follow Us on VKFollow Us on Cuttings.meFollow Us on Wordpress

Hack shop

  • 🤖 Игрушка / брелок Android
    Оценка 5.00 из 5
    ₽ 349.00 ₽ 219.00
  • Чехол Iphone X Linux tux Пингвин
    Оценка 5.00 из 5
    ₽ 500.00 ₽ 400.00
  • 🐱 Набор стикеров наклеек IT GEEK
    Оценка 5.00 из 5
    ₽ 250.00
  • BadUSB Beetle Bas USB Микроконтроллер
    Оценка 5.00 из 5
    ₽ 2,500.00 ₽ 2,000.00
  • 🤖 Брелок Робот
    Оценка 5.00 из 5
    ₽ 250.00 ₽ 200.00

Поделиться

Facebooktwitterredditpinterestlinkedinmail

Anything in here will be replaced on browsers that support the canvas element

  • linux
  • ubuntu
  • windows
  • Kali linux
  • debian
  • CentOS
  • web security
  • RHEL
  • Fedora
  • Arch Linux
  • ssh
  • unix
  • devops
  • шифрование
  • SSL
  • MacOS
  • Astra Linux
  • Linux Mint
  • VPN
  • Password
  • docker
  • firewall
  • pentest
  • malware
  • proxy
  • python
  • САВЗ
  • Apache
  • FreeBSD
  • android

RSS Information Security Squad

  • 🕵️ Как пользоваться сканером уязвимостей Nessus? 09.04.2021
    Как пользоваться сканером уязвимостей Nessus Это статья для новичков, которые хотят получить стартовые знания по сканированию на уязвимости. Подробно и... The post 🕵️ Как пользоваться сканером уязвимостей Nessus? first appeared on Information Security Squad.
  • 🖧 Безопасность беспроводной сети Wi-fi 07.04.2021
    Как обеспечить безопаcность Wi-fi? Сегодня беспроводные технологии широко используются в корпоративных офисах, на предприятиях, государственных и образовательных учреждениях. Существует множество... The post 🖧 Безопасность беспроводной сети Wi-fi first appeared on Information Security Squad.
  • 🐳 Как запускать команды внутри контейнера Docker? 07.04.2021
    Запускать команды внутри контейнера проще, чем вы думаете. Контейнер Docker – это изолированная среда, которая обычно содержит одно приложение со... The post 🐳 Как запускать команды внутри контейнера Docker? first appeared on Information Security Squad.
  • Разновидности хостинга: как сделать выбор? 06.04.2021
    Провайдеры часто рекламируют услуги хостинга. Многие люди не обращают внимания на такое предложение, потому что не знают о ней. Чтобы... The post Разновидности хостинга: как сделать выбор? first appeared on Information Security Squad.
  • Сервисы, способные найти чей-либо email 06.04.2021
    Как найти электронный адрес например владельца сайта? Или как найти email определенного человека? В этом обзоре постараюсь показать онлайн сервисы,... The post Сервисы, способные найти чей-либо email first appeared on Information Security Squad.
Flag Counter

Корзина

Свежие комментарии

  • Рома к записи Whatsapp Automation для отправки и получения сообщений
  • vitya к записи 🕵️ Как пользоваться сканером уязвимостей Nessus?
  • cryptoparty к записи ✗ Как узнать чужой IP ( кого угодно) отправив ему ссылку | Лучшие Ip грабберы в 2019✗
  • Равшан к записи ✗ Как узнать чужой IP ( кого угодно) отправив ему ссылку | Лучшие Ip грабберы в 2019✗
  • cryptoparty к записи Онлайн брутфорс паролей с Hydra-GTK

Hack shop

  • 🤖 Игрушка / брелок Android
    Оценка 5.00 из 5
    ₽ 349.00 ₽ 219.00
  • Чехол Iphone X Linux tux Пингвин
    Оценка 5.00 из 5
    ₽ 500.00 ₽ 400.00
  • 🐱 Набор стикеров наклеек IT GEEK
    Оценка 5.00 из 5
    ₽ 250.00
  • BadUSB Beetle Bas USB Микроконтроллер
    Оценка 5.00 из 5
    ₽ 2,500.00 ₽ 2,000.00
  • 🤖 Брелок Робот
    Оценка 5.00 из 5
    ₽ 250.00 ₽ 200.00

Свежие записи

  • 🕵️ Как пользоваться сканером уязвимостей Nessus?
  • 🖧 Безопасность беспроводной сети Wi-fi
  • 🐳 Как запускать команды внутри контейнера Docker?
  • Разновидности хостинга: как сделать выбор?
  • Сервисы, способные найти чей-либо email