[freebsd] dns amplification attack
Господа, подскажите плз, как с этой дрянью бороться мне тут хостер намекнул, что мои ДНС сервера для этого используют, и tcpdump намекает, что они похоже правы Как с этим можно бороться? Гугление что то не дало вменяемых результатов. # tcpdump -i em1 port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes 14:01:10.112093 IP n11212086169.netvigator.com.41033 92.241.171.233.domain: 37722+ [1au] A? a.packetdevil.com. (46) 14:01:10.112377 IP 92.241.171.233.domain n11212086169.netvigator.com.41033: 37722 252/1/1 A 204.11.52.245, A 204.11.52.246, A 204.11.52.247, A 204.11.52.248, A 204.11.52.249, A 204.11.52.250, A 204.11.52.251, A 204.11.52.252, A 204.11.52.253, A 204.11.52.254, A 204.11.52.255, A 204.11.53.0, A 204.11.53.1, A 204.11.53.2, A 204.11.53.3, A 204.11.53.4, A 204.11.53.5, A 204.11.53.6, A 204.11.53.7, A 204.11.53.8, A 204.11.53.9, A 204.11.53.10, A 204.11.53.11, A 204.11.53.12, A 204.11.53.13, A 204.11.53.14, A 204.11.53.15, A 204.11.53.16, A 204.11.53.17, A 204.11.53.18, A 204.11.53.19, A 204.11.53.20, A 204.11.53.21, A 204.11.53.22, A 204.11.53.23, A 204.11.53.24, A 204.11.53.25, A 204.11.53.26, A 204.11.53.27, A 204.11.53.28, A 204.11.53.29, A 204.11.53.30, A 204.11.53.31, A 204.11.53.32, A 204.11.53.33, A 204.11.53.34, A 204.11.53.35, A 204.11.53.36, A 204.11.53.37, A 204.11.53.38, A 204.11.53.39, A 204.11.53.40, A 204.11.53.41, A 204.11.53.42, A 204.11.53.43, A 204.11.53.44, A 204.11.53.45, A 204.11.53.46, A 204.11.53.47, A 204.11.53.48, A 204.11.53.49, A 204.11.53.50, A 204.11.53.51, A 204.11.53.52, A 204.11.53.53, A 204.11.53.54, A 204.11.53.55, A 204.11.53.56, A 204.11.53.57, A 204.11.53.58, A 204.11.53.59, A 204.11.53.60, A 204.11.53.61, A 204.11.53.62, A 204.11.53.63, A 204.11.53.64, A 204.11.53.65, A 204.11.53.66, A 204.11.53.67, A 204.11.53.68, A 204.11.53.69, A 204.11.53.70, A 204.11.53.71, A 204.11.53.72, A 204.11.53.73, A 204.11.53.74, A 204.11.53.75, A 204.11.53.76, A 204.11.53.77, A[|domain] 14:01:10.119675 IP 92.241.171.233.domain 180.168.255.12.51541: 61364* 1/4/4 A 92.241.171.233 (181) 14:01:10.131028 IP n11212086169.netvigator.com.50104 92.241.171.233.domain: 4663+ [1au] A? a.packetdevil.com. (46) 14:01:10.131261 IP 92.241.171.233.domain n11212086169.netvigator.com.50104: 4663 252/1/1 A 204.11.52.246, A 204.11.52.247, A 204.11.52.248, A 204.11.52.249, A 204.11.52.250, A 204.11.52.251, A 204.11.52.252, A 204.11.52.253, A 204.11.52.254, A 204.11.52.255, A 204.11.53.0, A 204.11.53.1, A 204.11.53.2, A 204.11.53.3, A 204.11.53.4, A 204.11.53.5, A 204.11.53.6, A 204.11.53.7, A 204.11.53.8, A 204.11.53.9, A 204.11.53.10, A 204.11.53.11, A 204.11.53.12, A 204.11.53.13, A 204.11.53.14, A 204.11.53.15, A 204.11.53.16, A 204.11.53.17, A 204.11.53.18, A 204.11.53.19, A 204.11.53.20, A 204.11.53.21, A 204.11.53.22, A 204.11.53.23, A 204.11.53.24, A 204.11.53.25, A 204.11.53.26, A 204.11.53.27, A 204.11.53.28, A 204.11.53.29, A 204.11.53.30, A 204.11.53.31, A 204.11.53.32, A 204.11.53.33, A 204.11.53.34, A 204.11.53.35, A 204.11.53.36, A 204.11.53.37, A 204.11.53.38, A 204.11.53.39, A 204.11.53.40, A 204.11.53.41, A 204.11.53.42, A 204.11.53.43, A 204.11.53.44, A 204.11.53.45, A 204.11.53.46, A 204.11.53.47, A 204.11.53.48, A 204.11.53.49, A 204.11.53.50, A 204.11.53.51, A 204.11.53.52, A 204.11.53.53, A 204.11.53.54, A 204.11.53.55, A 204.11.53.56, A 204.11.53.57, A 204.11.53.58, A 204.11.53.59, A 204.11.53.60, A 204.11.53.61, A 204.11.53.62, A 204.11.53.63, A 204.11.53.64, A 204.11.53.65, A 204.11.53.66, A 204.11.53.67, A 204.11.53.68, A 204.11.53.69, A 204.11.53.70, A 204.11.53.71, A 204.11.53.72, A 204.11.53.73, A 204.11.53.74, A 204.11.53.75, A 204.11.53.76, A 204.11.53.77, A 204.11.53.78, A[|domain]
Re: [freebsd] dns amplification attack
On 12/10/13 14:05, greenh wrote: Господа, подскажите плз, как с этой дрянью бороться мне тут хостер намекнул, что мои ДНС сервера для этого используют, и tcpdump намекает, что они похоже правы Как с этим можно бороться? Гугление что то не дало вменяемых результатов. # tcpdump -i em1 port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes 14:01:10.112093 IP n11212086169.netvigator.com.41033 92.241.171.233.domain: 37722+ [1au] A? a.packetdevil.com http://a.packetdevil.com. (46) У вас открта рекурсия для всех? Откройте только для localhost и сетей в которых живут другие ваши сервера (если такие есть). Если у вас bind, то что то вроде acl mynet { 127.0.0.0/8; 10.0.0.0/8; }; options { ... allow-recursion { mynet; }; ... } Если своих зон на этом сервере нет, то и allow-query { mynet; }; Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate limit).
Re: [freebsd] dns amplification attack
10 декабря 2013 г., 12:11 пользователь Anton Yuzhaninov cit...@citrin.ruнаписал: On 12/10/13 14:05, greenh wrote: Господа, подскажите плз, как с этой дрянью бороться мне тут хостер намекнул, что мои ДНС сервера для этого используют, и tcpdump намекает, что они похоже правы Как с этим можно бороться? Гугление что то не дало вменяемых результатов. # tcpdump -i em1 port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes 14:01:10.112093 IP n11212086169.netvigator.com.41033 92.241.171.233.domain: 37722+ [1au] A? a.packetdevil.com http://a.packetdevil.com. (46) У вас открта рекурсия для всех? Откройте только для localhost и сетей в которых живут другие ваши сервера (если такие есть). Если у вас bind, то что то вроде acl mynet { 127.0.0.0/8; 10.0.0.0/8; }; options { ... allow-recursion { mynet; }; ... } Если своих зон на этом сервере нет, то и allow-query { mynet; }; Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate limit). У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы?
Re: [freebsd] dns amplification attack
Hello, greenh! On Tue, Dec 10, 2013 at 12:17:29PM +0200 gre...@gmail.com wrote about Re: [freebsd] dns amplification attack: 10 декабря 2013 г., 12:11 пользователь Anton Yuzhaninov cit...@citrin.ruнаписал: On 12/10/13 14:05, greenh wrote: Господа, подскажите плз, как с этой дрянью бороться мне тут хостер намекнул, что мои ДНС сервера для этого используют, и tcpdump намекает, что они похоже правы ... Если своих зон на этом сервере нет, то и allow-query { mynet; }; Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate limit). У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? Важно предоставлять рекурсию только своим пользователям, а не всему интернету. Атака простая -- атакующий подставляет адрес жертвы и якобы с него отправляет запрос, в котором ожидается большой ответ. Ваш сервер исправно отвечает и ответы летят к невинным жертвам. Бывает, что летят некислым таким потоком... :( -- Lystopad Aleksandr
Re: [freebsd] dns amplification attack
Hello! On Tue, 10 Dec 2013 at 12:17:29 (+0200), greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? Рекурсию для _чужих_ отключать _нужно_. Тем более, если Вы не предоставляете бесплатный общедоступный рекурсер аля google-public-dns-a.google.com. Если свои зоны, то allow-query для всех, allow-recursion и allow-query-cache - только для локалхоста, своих и доверенных сетей, а allow-transfer - только для secondary dns серверов. -- George L. Yermulnik [YZ-RIPE]
Re: [freebsd] dns amplification attack
On 12/10/13 14:17, greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10
Re: [freebsd] dns amplification attack
10 декабря 2013 г., 12:29 пользователь Anton Yuzhaninov cit...@citrin.ruнаписал: On 12/10/13 14:17, greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В приведенном логе вообще нет наших зон. я их вырезал, для наглядности
Re: [freebsd] dns amplification attack
Anton Yuzhaninov wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В bind 9.9.4 тоже есть. -- Константин Стефанов Египетский бог Сет отвечал за переменные окружения.
Re: [freebsd] dns amplification attack
Hello! On Tue, 10 Dec 2013 at 14:46:00 (+0400), Constantin Stefanov wrote: Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В bind 9.9.4 тоже есть. И в 9.8.6, судя по Makefile порта, есть через патч. Работоспособность не проверял. -- George L. Yermulnik [YZ-RIPE]