無論是辦公室、研究室、學生宿舍,或甚至家中,為了讓多個設備共用IP位址上網,我們經常會安裝一個小型的有線或無線IP分享器,讓筆電、手機等上網裝置能夠很方便地共用網路。IP分享器不貴、方便好用,而且很容易安裝,買來設定一下就可以使用,因此相當普遍。
但是,魔鬼藏在細節裡!計資中心網路組發現,校內許多無線IP分享器在就近提供網路服務時,卻也同時對整個網際網路提供DNS網域名稱查詢服務!問題就在於裝置設計的運作方式,讓使用者設定時無法清楚了解其產生的效果。例如,有些IP分享器可選擇「路由器模式」或「AP模式」,前者預設會開啟DNS Relay功能,也就是為不限來源的IP提供DNS查詢功能。有些無線IP分享器則預設只要設定DNS伺服器,就一定對外提供DNS查詢服務。如此一來,網際網路上的有心人就可以透過這台無意中成為開放DNS解析器(open DNS resolver)的IP分享器,利用DNS反射或放大攻擊的手法(DNS Reflection or DNS Amplification Attacks),假冒攻擊目標IP向許多具備開放DNS解析器特性的設備發出大量DNS ANY查詢,讓這些被當作放大攻擊的幫兇將DNS回覆往攻擊目標灌,使其頻寬滿載導致服務中斷!
各廠牌型號的無線IP分享器功能及設定方式各異,使用者可以利用 http://openresolver.com 網站,測試自己的IP分享器是否成為開放DNS解析器。