Re: [PUG] DDOS-Attacke via DNS
N'abend, hat jemand nen Tip fuer 9.3 parat? Gruß Stefan Christian Felsing schrieb: Hallo, abstellen lässt sich das wie folgt: 1. djbdns benutzen 2. Bind = 9.4 wie folgt konfigurieren: Global: allow-query { localhost; }; Für jede Zone: allow-query { any; }; Dann sollte Ruhe herrschen. Grüße Christian -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] DDOS-Attacke via DNS
Hi! Wer von Euch einen DNS-Server am öffentlichen Netz betreibt, sollte vielleicht mal prüfen, ob dieser sich so verhält wie er sollte, und Anfragen nach der root-Zone (.) von nicht autorisierten Clients ablehnt. Ansonsten könnte Euer Server als Verstärker für einen seit ein paar Tagen laufenden DDOS-Angriff mißbraucht werden. Gruß mks -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] DDOS-Attacke via DNS
Markus Schönhaber: Tagen laufenden DDOS-Angriff mißbraucht werden. Mehr dazu übrigens auch hier: http://isc.sans.org/diary.html?storyid=5713 Gruß mks -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] DDOS-Attacke via DNS
Markus Schönhaber wrote: Hi! Wer von Euch einen DNS-Server am öffentlichen Netz betreibt, sollte vielleicht mal prüfen, ob dieser sich so verhält wie er sollte, und Anfragen nach der root-Zone (.) von nicht autorisierten Clients ablehnt. Ansonsten könnte Euer Server als Verstärker für einen seit ein paar Tagen laufenden DDOS-Angriff mißbraucht werden. Kannst du bitte noch mal ausführen, wie es sein sollte und wie nicht? Beispiel: dig . NS @ns.domain.net -- output von mehreren zeilen == schlecht? Danke und Gruß, Stefan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] DDOS-Attacke via DNS
Stefan Jakob: Kannst du bitte noch mal ausführen, wie es sein sollte und wie nicht? Beispiel: dig . NS @ns.domain.net -- output von mehreren zeilen == schlecht? Nun, mein dig gibt gerne auch dann mehrere Zeilen aus, wenn der gefragte Server sich geweigert hat zu antworten. Sagen wir es lieber so: -- refused == gut -- Liste der root nameserver wird ausgegeben == schlecht Bei sans.org gibt es auch ein Web-Interface, mit dem man das testen kann: http://isc1.sans.org/dnstest.html Oder wenn's dig sein soll, bspw: gut: | $ dig . NS @192.168.199.1 | | ; || DiG 9.5.0-P2 || . NS @192.168.199.1 | ;; global options: printcmd | ;; Got answer: | ;; -||HEADER- opcode: QUERY, status: REFUSED, id: 61447 | ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 | ;; WARNING: recursion requested but not available | | ;; QUESTION SECTION: | ;.IN NS | | ;; Query time: 61 msec | ;; SERVER: 192.168.199.1#53(192.168.199.1) | ;; WHEN: Wed Jan 21 20:23:35 2009 | ;; MSG SIZE rcvd: 17 schlecht: | $ dig . NS | | ; || DiG 9.4.2-P2 || . NS | ;; global options: printcmd | ;; Got answer: | ;; -||HEADER- opcode: QUERY, status: NOERROR, id: 51994 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 14 | | ;; QUESTION SECTION: | ;.IN NS | | ;; ANSWER SECTION: | . 518052 IN NS g.root-servers.net. | . 518052 IN NS e.root-servers.net. | . 518052 IN NS d.root-servers.net. | . 518052 IN NS f.root-servers.net. | . 518052 IN NS b.root-servers.net. | . 518052 IN NS c.root-servers.net. | . 518052 IN NS j.root-servers.net. | . 518052 IN NS i.root-servers.net. | . 518052 IN NS h.root-servers.net. | . 518052 IN NS a.root-servers.net. | . 518052 IN NS k.root-servers.net. | . 518052 IN NS l.root-servers.net. | . 518052 IN NS m.root-servers.net. | | ;; ADDITIONAL SECTION: | a.root-servers.net. 518052 IN A 198.41.0.4 | a.root-servers.net. 518052 IN 2001:503:ba3e::2:30 | b.root-servers.net. 518052 IN A 192.228.79.201 | c.root-servers.net. 518052 IN A 192.33.4.12 | d.root-servers.net. 518052 IN A 128.8.10.90 | e.root-servers.net. 518052 IN A 192.203.230.10 | f.root-servers.net. 518052 IN A 192.5.5.241 | f.root-servers.net. 518052 IN 2001:500:2f::f | g.root-servers.net. 518052 IN A 192.112.36.4 | h.root-servers.net. 518052 IN A 128.63.2.53 | h.root-servers.net. 518052 IN 2001:500:1::803f:235 | i.root-servers.net. 518052 IN A 192.36.148.17 | j.root-servers.net. 518052 IN A 192.58.128.30 | j.root-servers.net. 518052 IN 2001:503:c27::2:30 | | ;; Query time: 0 msec | ;; SERVER: 127.0.0.1#53(127.0.0.1) | ;; WHEN: Wed Jan 21 20:27:06 2009 | ;; MSG SIZE rcvd: 500 Gruß mks -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] DDOS-Attacke via DNS
Hallo, abstellen lässt sich das wie folgt: 1. djbdns benutzen 2. Bind = 9.4 wie folgt konfigurieren: Global: allow-query { localhost; }; Für jede Zone: allow-query { any; }; Dann sollte Ruhe herrschen. Grüße Christian Markus Schönhaber schrieb: Hi! Wer von Euch einen DNS-Server am öffentlichen Netz betreibt, sollte vielleicht mal prüfen, ob dieser sich so verhält wie er sollte, und Anfragen nach der root-Zone (.) von nicht autorisierten Clients ablehnt. Ansonsten könnte Euer Server als Verstärker für einen seit ein paar Tagen laufenden DDOS-Angriff mißbraucht werden. Gruß mks -- PUG - Penguin User Group Wiesbaden - http://www.pug.org -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] DDOS-Attacke via DNS
Christian Felsing: Dann sollte Ruhe herrschen. Ruhe ist vielleicht etwas übertrieben. Die Antwortpakete mit der Ablehnung der Anfrage treffen immer noch das Ziel, und je nach Konfiguration wird der DNS-Server evtl. immer noch die Logs zumüllen, aber der deutliche Verstärkungseffekt ist immerhin weg. Ich verwerfe diese Anfragen von den betroffenen Zielen lieber ganz. Gruß mks -- PUG - Penguin User Group Wiesbaden - http://www.pug.org