เว็บไซต์สำหรับตรวจสอบหา Open DNS resolver

Open DNS resolver หมายถึงเซิร์ฟเวอร์หรืออุปกรณ์เครือข่ายใด ๆ ก็ตามที่เปิดให้บริการ DNS และมีการตั้งค่าอย่างไม่เหมาะสม โดยอนุญาตให้ผู้บุคคลทั่วไปสามารถใช้บริการได้ แทนที่จะจำกัดการใช้งานให้เฉพาะกับผู้ที่ได้รับอนุญาต

จากข้อมูลที่ไทยเซิร์ตได้รับรายงานจากหน่วยงานต่างประเทศตั้งแต่เดือนกันยายน 2555 จนถึงเดือนมีนาคม 2556 พบว่ามีจำนวน IP address ของ Open DNS resolver ที่อยู่ในประเทศไทยเฉลี่ยประมาณวันละ 1,000 หมายเลข และมีจำนวน IP address ที่ไม่ซ้ำรวมกันสูงถึงหลักหมื่นต่อเดือนดังรูปที่ 2 ส่วนรายงานผลการสำรวจของเว็บไซต์ dns.measurement-factory.com เมื่อวันที่ 16 เมษายน 2556 พบว่า จำนวน Open DNS resolver ที่อยู่ภายใต้การดูแลของหน่วยงานในประเทศไทยมีจำนวน 947 หมายเลขจาก 59 หน่วยงานซึ่งประกอบไปด้วยผู้ให้บริการอินเทอร์เน็ต หน่วยงานภาครัฐและเอกชน และสถาบันการศึกษา ในขณะที่ CloudFlare ผู้ที่ให้บริการ Content Delivery Network (CDN) กับ Spamhaus ได้ตรวจสอบการโจมตีที่เกิดขึ้นกับ Spamhaus และพบว่า Open DNS resolver ในประเทศไทยที่ถูกใช้เป็นฐานในการโจมตีระบบของ Spamhaus มีจำนวนทั้งสิ้นถึง 898 หมายเลข ทำให้สามารถสันนิษฐานในเบื้องต้นได้ว่า Open DNS resolver ส่วนใหญ่ในประเทศไทยนั้นถูกผู้ไม่หวังดีนำไปใช้เป็นเครื่องมือในการโจมตีผู้อื่นแล้ว ดังนั้นปัญหาที่เกิดจากการตั้งค่าบริการ DNS ที่ไม่เหมาะสมนั้น ถือเป็นเรื่องสำคัญที่ควรดำเนินการแก้ไขอย่างเร่งด่วน

1. สามารถตรวจสอบได้จากเว็บไซต์ openresolverproject.org

[sourcecode]
http://openresolverproject.org/
[/sourcecode]

– ให้เช็ค my IP address ของเครือข่ายเราก่อน ว่าไอพีแอดเดรสที่ได้รับจากผู้ให้บริการอินเทอร์เน็ตเป็นหมายเลขใด

– เปิดเว็บไซต์ แล้วใส่ไอพีแอดเดรสโดยระบุเป็น IP subnet ที่ต้องการตรวจสอบ เช่น xxx.xxx.144.0/24

ผลลัพธ์ที่ได้จากการค้นหา Open DNS resolver จาก IP subnet
Open Resolver Search Results for xxx.xx.144.0/24
IP Queried Responding IP (if different) time_t RCODE Recursion Available
xxx.xx.144.70 1366508718 0 1
xxx.xx.144.146 1366515564 0 1
xxx.xx.144.158 1366516643 0 1

จากนั้นใช้คำสั่ง nslookup ทดสอบ DNS resolver ดูว่าสามารถทำ query ได้ไหม

[sourcecode]
nslookup
> server xxx.xx.144.70
Default server: xxx.xx.144.70
Address: xxx.xx.144.70#53
> www.susethailand.com
Server: xxx.xx.144.70
Address: xxx.xx.144.70#53

Non-authoritative answer:
www.susethailand.com canonical name = susethailand.com.
Name: susethailand.com
Address: 122.155.168.150
[/sourcecode]

การนำไปทดสอบใช้งาน ก็แค่เพียงแก้ไขการตั้งค่าของ DNS server ในองค์กรของเราที่ทำหน้าที่เป็น Caching name server หรือแก้ไขที่ไฟล์ “/etc/resolv.conf” (สำหรับลีนุกซ์)

2. สามารถตรวจสอบได้จากเว็บไซต์ dns.measurement-factory.com

[sourcecode]
http://dns.measurement-factory.com/cgi-bin/openresolverquery.pl
[/sourcecode]

3. ตรวจสอบจากเว็บไซต์ dnsinspect.com

[sourcecode]
http://www.dnsinspect.com
[/sourcecode]

เป็นเว็บไซต์หนึ่งที่ใช้สำหรับตรวจสอบการทำงานของ DNS server อย่างละเอียด

Reference – ThaiCERT

Leave a Reply

Scroll to top
X