DNS Bordel

tom-tom

TTL mám 5min, loni se řešily taky podobné problémy s DNS, takže od té doby to tam tak je.

ppp76

Podle infa co se mi doneslo tak asus routery jsou napadeny necim co odesila nesmyslne dotazy na dns pomuze jen reset do defaultu ale i to je jen docasen , zaplata od asusu zatim neni , co se tyce belkinu tak ty maj snad stejnej problem , nekde proletel i nejakej clanek na tohle tema ... reseni vyhodit asusy a belkiny nahradit tplinkama ty napadnuty nejsou :)

tom-tom

Samozřejmě že taky dáváme jen tplinky, ale ne každý klient si nechá od nás připojit router, to bohužel neovlivníme.

dalibortoman

A problémy s dns u klientů jinak nemáte nikdo? Nám se teď za poslední dny ozvalo pár klientů, kterým se hůř zobrazují stránky, případně bez stylů a obrázků. Na druhý pokus pak už v pohodě.

Jeden z nich dokonce uvedl konkrétní chybovou hlášku DNS lookup failed. Používáme vlastní nameservery ze kterých si jeden hlavní velký mikrotik kešuje a klienti se dotazují jeho.

Vím že se tady minulý týden nesla nějaká zpráva o tom, že se něco podobného děje mezi routery na GTSce, takže se ptám, jestli se to už nedostalo i k ostatním ISP :)

A toho bordelu v cache mikrotiku jsem si nikdy předtím nevšiml, nebo nebyl tak výrazný a za poslední dny tam je až 700-800 takových záznamů, mezi nimi vede koncovka .belkin, .asus a doména 56bj56.com

Jinak, nameservery máme za překladem a zvenčí se na ně nedostane ani bajt, takže je to jednoznačně záležitost intranetu.

pokud pouzivas vlastni DNS servery tak si over jestli je nepretezuji nejake requesty. Resil jsem ted v podstate to same co popisujes. Asi 300 open DNS serveru mezi zakazniky , ktere prijimaly requesty a preposilaly je nasim DNS serverum (vsichni zakaznici maji verejna IPcka). Zablokovani portu 53 k temhle vytecnikum problem vyresilo.

Staci na DNS spustit tcpdump a podivat se zda se nevtyskytuji ve vetsi mire dotazy na neco podobneho jako je tohle: gnitwrmbszibex.www.269sf.com. - nejaka existujici domena a pred ni prilepeny vice ci mene randomizovany shluk znaku. IMHO se nekdo bavi tim, ze pretezuje ISPkum DNS servery nebo utoci na nejake konkretni DNS servery/domeny.

Na jakem zarizeni presne jsou ty open DNS servery netusim. Ale zatim to vypada, ze postizeni jsou ti zakaznici co si koupili router nekde jinde nez u nas.

tom-tom

Jo, to by odpovídalo, ve vlnách, nárazově velké množství dotazů na konkrétní doménu s jakoby náhodně vygenerovaným názvem.

Tcpdump jsem právě dělal jako první, když se začali ozývat lidi, ten mě taky přivedl na cache mikrotiku, kterého se klienti dotazují.

Každopádně to vypadá, že s tím má větší problém mikrotik než samotné nameservery. Ani nejde tak o zatížení, spíš si cache nedokáže poradit s takovým množstvím nestandardních dotazů.

Protože u klienta, který si první stěžoval na problém s načítáním webu, jsem nastavil dns přímo na náš server a problémy zmizely.

whef

A problémy s dns u klientů jinak nemáte nikdo? Nám se teď za poslední dny ozvalo pár klientů, kterým se hůř zobrazují stránky, případně bez stylů a obrázků. Na druhý pokus pak už v pohodě.

Jeden z nich dokonce uvedl konkrétní chybovou hlášku DNS lookup failed. Používáme vlastní nameservery ze kterých si jeden hlavní velký mikrotik kešuje a klienti se dotazují jeho.

Vím že se tady minulý týden nesla nějaká zpráva o tom, že se něco podobného děje mezi routery na GTSce, takže se ptám, jestli se to už nedostalo i k ostatním ISP :)

A toho bordelu v cache mikrotiku jsem si nikdy předtím nevšiml, nebo nebyl tak výrazný a za poslední dny tam je až 700-800 takových záznamů, mezi nimi vede koncovka .belkin, .asus a doména 56bj56.com

Jinak, nameservery máme za překladem a zvenčí se na ně nedostane ani bajt, takže je to jednoznačně záležitost intranetu.

Taky máme stále stejné problémy, přístupy na routery z venku blokovány, vyzkoušeno všechno možné nastavení co ostaním pomohlo, u nás se stále nedaří dohledat zdroj :(

dalibortoman

Taky máme stále stejné problémy, přístupy na routery z venku blokovány, vyzkoušeno všechno možné nastavení co ostaním pomohlo, u nás se stále nedaří dohledat zdroj :(

co to znamena pristup na router z venku blokovany. Ze je uriznuty management z internetu? To nestaci. Pokud je ten router spatne nastaven (nebo se tak chova uz z vyroby) a je na nem open DNS (tedy na portu 53 prijima odkohokloliv DNS requesty) pak je bude preposilat zrejme na IP cka DNS serveru v routeru nastavene. No a jakmile utocnik tenhle router nejakym scannerem najde zacne jen posilat DNS dotazy a prislusne DNS servery se zacinaji potit.

BTW nasel jsem jednoho klienta od ktereho obcas vali podobne DNS dotazy ale nevede k nemu zadna nitka od loutkare (nechodi na nej zadne DNS requesty, takze nema co preposilat). Jestli je to nejaky virus na PC, ktery po zapnuti PC zacne jen generovat DNS dotazy, tak se s tim nic krome zaseknuti DNS dotazu od klienta (tedy v podstate zablkovani Internetu) nic delat. Pokud by se tohle rozsirilo, pak by to uz sranda nebyla.

whef

Taky máme stále stejné problémy, přístupy na routery z venku blokovány, vyzkoušeno všechno možné nastavení co ostaním pomohlo, u nás se stále nedaří dohledat zdroj :(

Port 53 jsme samozřejmě všude z venku zakázali. Postupně budeme vypínat části sítě, už jsme se o to pokoušeli, zatím se nám to přesně stejně nepodařilo lokalizovat, abychom neudělali dlouhé výpadky.

dalibortoman

Taky máme stále stejné problémy, přístupy na routery z venku blokovány, vyzkoušeno všechno možné nastavení co ostaním pomohlo, u nás se stále nedaří dohledat zdroj :(

nedochazi proc to nejde podle SRC IP dotazu? Chytit par packetu snifferem lehce zanalyzovat? Nebo vypsat nejakou statistiku z DNS serveru (rndc recurse apod) a zanalyzovat...

tom-tom

Takže nějaké původce těch randomizovaných adres jsem vystopoval, jednalo se o pár "kostlivců" na mikrotiku, kde někdo zapomněl zatrhnout dns requesty z wan a ve spojení s veřejnou ip jeli skutečně jako open dns.

Teď už mi v cache zůstávají ty .asus a .belkin a pár dalších. Musím teď najít oběť, na které vyzkouším, jestli už je to ok :)

BTW nasel jsem jednoho klienta od ktereho obcas vali podobne DNS dotazy ale nevede k nemu zadna nitka od loutkare (nechodi na nej zadne DNS requesty, takze nema co preposilat). Jestli je to nejaky virus na PC, ktery po zapnuti PC zacne jen generovat DNS dotazy, tak se s tim nic krome zaseknuti DNS dotazu od klienta (tedy v podstate zablkovani Internetu) nic delat. Pokud by se tohle rozsirilo, pak by to uz sranda nebyla.

Tak ono stačí aby ten pc byl připojený k botnetu přes vpn, dostane úkoly na celý den a prakticky není potřeba udržovat dál spojení s loutkářem :)

EDIT:

tohle vypadá velmi dobře :)

arcw5z1.gm73ljplkqphswshw5v8vjkd2cv.uhb613mtd3v19wkiu2.3mzwlt2lerb77trs2t3rqde725.kwn7e5ksfeqsmrrk1srt9u95fb.avqs.mcafee.com

majklik

tohle vypadá velmi dobře :)

arcw5z1.gm73ljplkqphswshw5v8vjkd2cv.uhb613mtd3v19wkiu2.3mzwlt2lerb77trs2t3rqde725.kwn7e5ksfeqsmrrk1srt9u95fb.avqs.mcafee.com

Ano, to vypadá dobře. Říká to, že tvůj zákoš používá McAfee a ten se ptá domů na každý otvíraný soubor, co o něm soudí tatínek. Je v tom hash souboru, jméno, id kdo se ptá.... Mít v síti živý fileserver s McAfee produkty na něm, tak takovýhle dotazů jedou desítky/sec...

Stejnou techniku používá spousta dalších aplikací. Některé takto přímo dělají IP tunel skrz DNS dotazy.

jarda_jezek

Takto šifruje CIA instrukce pro al.kajdu a předává je přes mrtvé schránky - cache DNS serverů.

Sent from Android by Tapatalk.

hapi

já nechci bejt zase za toho prudiče ale tohle vlákno pěkně ukazuje jakej máme všichni v síti bordel. Žádný ošetření podobných věcí atd.. Jak můžete mít z venku otevřený něco jako DNS resolvery? takhle právě pěkně vznikaji tyhle průsery. Ještě se vsadim že nemáte blokovaný spoofingnutý IPčka. Jistě že nemáte jelikož dělám po republice tunely a v pohodě odesílám cizí IP adresou data do netu a vraceji se mi přes datacentrum skrz tunel zpět. To jsou prostě základy. Dokonce i z polska nebo ruska se vraceji pakety s jinou ip adresou která je přitom naroutovaná v CZ a její ip adresa jako zdroj si vesele projde z ruska téměř kamkoliv. Pak se nesmíme divit že vznikají primitivně jednoduše téměř nevystopovatelný DDOS útoky protože se nedaji vyhledat ani podle zdroje jelikož určitě odtud nepocházejí a tečou určo z úplně jinýho směru.

Tim fakt nechci prudit ale je tu dost dlouholetých ISPíků a jejich vzdělávání za ta léta vůbec nikam nepokročilo.

Majklik ví o čem mluvim, nedavno okounovy psal určité zásady který by měl mít každej ve filtru na hraničnim routeru. Některý byly teda až schyzofrení ale neméně důležitě v těžkých časech jako jsou třeba ty když vám dodavatel konetivity odstřihne DNSko :-)

net_work

A co tak radeji mene kecat a zalozit topic (treba v sekci pro zacatecniky) s tim co by mel mit kazdy ve FW? Myslim ze to neni zadne chranene know-how a ve vysledku to muze byt uzitecne vsem, treba prave pro zmirneni zminovanych ddos utoku... :?: :)

dalibortoman

já nechci bejt zase za toho prudiče ale tohle vlákno pěkně ukazuje jakej máme všichni v síti bordel. Žádný ošetření podobných věcí atd.. Jak můžete mít z venku otevřený něco jako DNS resolvery?

tohle je treba u nas dano jednak historicky a jednak nejakou filozofii k tomu, co povazujeme za pripojeni k Internetu. Zakaznik ma verejnou IP adresu a teoreticky by mel mit moznost provozovat si sam cokoliv bez omezeni. Ano je to svym zpusobem z dnesniho pohledu naivni a ted uz bych nektere tyhle veci delal jinak. Ale pokud mas historicky defaultne neco povoleno tak to predelat do defaultne zakazano neni bezbolestne - problem zjistit , kdo si uz (dobre nastaveny) vlastni DNS server rozebehl apod. Takze radsi vymyslim zpusob jak detekovat zlobivce (analyza provozu ze zaznamu, ktery stejne vsichni povinne ukladame. Aspon se k necemu hodi)

Navic, co vsechno mam defaultne zakazat? Delat stavovy firewall na vsechny zakazniky? Dekuji pekne. Zatim se stale snazime se poskytovat pripojeni k Internetu a ne jeho nahrazku. A jsem rad, ze jsem se na gatewayich zbavil connection trackingu a usetril peknych par procent vykonu na routing atd.

Vcera to byl SMTP provoz, dneska DNS a zitra co?

BTW: Blokujes NTP (123) zmerem k zakaznikum? Ten je pro utocnika jeste vyhodnejsi k amplification utoku nez DNSko. Na druhou stranu NTP serveru zase sezene (snad) podstatne mene nez DNS serveru

A pri analyze jsem zjistil, ze mame klienty, jejichz resolver posila DNS request packety z portu 53 - takze pausalnim filtrem bych je odstrihl taky. Nemam potrebu nekomu vysvetlovat, ze ta krabicka, co si koupil pred 5ti lety a celou dobu s ni byl spokojenej je nyni na prd a ma si koupit novou...

takhle právě pěkně vznikaji tyhle průsery. Ještě se vsadim že nemáte blokovaný spoofingnutý IPčka.

tohle taky nechamu, ze si to spousta ISP nenastavi.

Poslat jim 'par' packetu se SRC z jejich rozsahu a oni si pak pri hledani problemu (pokud to zvladnou) nastavi treba i ten odchozi antispoofer filter :-)

ikk

Já se připojuji s prosbou o nové téma, kde by se řešily vhodné pravidla pro FW. Myslím, že by tohle pomohlo spoustě lidí a sítí.

_zp

Já se připojuji s prosbou o nové téma, kde by se řešily vhodné pravidla pro FW. Myslím, že by tohle pomohlo spoustě lidí a sítí.

Antispoof filtering se dela na routerech, ne na firewallech. A nejjednodussi je to na boxech jako je cisco, kde se proste na kazdem rozhrani smerem k zakaznikum napise "ip verify unicast source reachable-via rx", problem to neni ani na linuxu, kde se pro vsechna rozhrani smerem k zakaznikum (ale jenom smerem k zakaznikum, smerem do upstreamu to nesmite naopak zapomenout vypnout) "echo 1 >/proc/sys/net/ipv4/conf/ethX/rp_filter" (rozhodne tam nedavat hodnotu 2, loose mode nic moc neresi).

Jo a neni spatne si taky prostudovat RFC, v tomto pripadne napriklad RFC2827: http://tools.ietf.org/html/rfc2827.html

hapi

přece všichni máme jeden hlavní router kde nastavim globálně pro všechny že se může forwardovat z vnitřku ven pouze adresy používající moje síť. Takže typicky 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 100.64.0.0/10 a pak ještě třeba doplnit své veřejné subnety. Tim by se měl spoofing zamáznout.

_zp

přece všichni máme jeden hlavní router kde nastavim globálně pro všechny že se může forwardovat z vnitřku ven pouze adresy používající moje síť. Takže typicky 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 100.64.0.0/10 a pak ještě třeba doplnit své veřejné subnety. Tim by se měl spoofing zamáznout.

Ne tak docela. Utocnik muze podvrhnout i adresu, ktera patri jinemu zakaznikovi vasi site.

dalibortoman

Já se připojuji s prosbou o nové téma, kde by se řešily vhodné pravidla pro FW. Myslím, že by tohle pomohlo spoustě lidí a sítí.

Jo a neni spatne si taky prostudovat RFC, v tomto pripadne napriklad RFC2827: http://tools.ietf.org/html/rfc2827.html

tak zrovna rp_filteru v Linuxu bych si dal pozor zvlaste pak u boxu, co jsou multihomed a nastavil ho na vsech interfacech rp_filter=0. Dost spatne se to pak hleda, kdyz rp_filter zacne zahazovat packety - neni to nikde videt. V tomto smeru je jeste take zajimavy zdroj potizi arp_announce nastaveny na defaultni 0

Co se tyce cisca 'ip verify...' asi nebude (nepouzivam tak si nejsem jisty) moc fungovat na skutecnem hranicnim routeru (kde pobezi BGP), pac vsechny IPcka budou v routovaci tabulce.

Takze preferuju jak v Linuxu tak na ciscu stary dobry firewall. Tedy iptables resp ACL. To udela to co si nastavim a je to zretelne a monitorovatelne (countery atd). A divny SRC IPcka je dobre seknout take hned na zarizeni u zakaznika (povolit odchod jen jemu preddelenho IP jako SRC v packetech)

Navic rp_filter ani 'ip verify..' neresi druhou cast problemu - a to zamezeni prichodu mych IPcek ze sveta.

« Předchozí stránka Další stránka »