Re: [PUG] DDOS-Attacke via DNS

2009-01-26 Diskussionsfäden Stefan Dorn 
N'abend,

hat jemand nen Tip fuer 9.3 parat?

Gruß
Stefan


Christian Felsing schrieb:
 Hallo,

 abstellen lässt sich das wie folgt:

 1. djbdns benutzen

 2. Bind = 9.4 wie folgt konfigurieren:
 Global: allow-query { localhost; };
 Für jede Zone: allow-query { any; };

 Dann sollte Ruhe herrschen.

 Grüße
 Christian
   
--

PUG - Penguin User Group Wiesbaden - http://www.pug.org

[PUG] DDOS-Attacke via DNS

2009-01-21 Diskussionsfäden Markus Schönhaber 
Hi!

Wer von Euch einen DNS-Server am öffentlichen Netz betreibt, sollte
vielleicht mal prüfen, ob dieser sich so verhält wie er sollte, und
Anfragen nach der root-Zone (.) von nicht autorisierten Clients ablehnt.
Ansonsten könnte Euer Server als Verstärker für einen seit ein paar
Tagen laufenden DDOS-Angriff mißbraucht werden.

Gruß
  mks
--

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] DDOS-Attacke via DNS

2009-01-21 Diskussionsfäden Markus Schönhaber 
Markus Schönhaber:

 Tagen laufenden DDOS-Angriff mißbraucht werden.

Mehr dazu übrigens auch hier:
http://isc.sans.org/diary.html?storyid=5713

Gruß
  mks
--

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] DDOS-Attacke via DNS

2009-01-21 Diskussionsfäden Stefan Jakob 

Markus Schönhaber wrote:

Hi!

Wer von Euch einen DNS-Server am öffentlichen Netz betreibt, sollte
vielleicht mal prüfen, ob dieser sich so verhält wie er sollte, und
Anfragen nach der root-Zone (.) von nicht autorisierten Clients ablehnt.
Ansonsten könnte Euer Server als Verstärker für einen seit ein paar
Tagen laufenden DDOS-Angriff mißbraucht werden.
  


Kannst du bitte noch mal ausführen, wie es sein sollte und wie nicht?

Beispiel:

dig . NS @ns.domain.net

-- output von mehreren zeilen == schlecht?

Danke und Gruß, Stefan
--

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] DDOS-Attacke via DNS

2009-01-21 Diskussionsfäden Markus Schönhaber 
Stefan Jakob:

 Kannst du bitte noch mal ausführen, wie es sein sollte und wie nicht?
 
 Beispiel:
 
 dig . NS @ns.domain.net
 
 -- output von mehreren zeilen == schlecht?

Nun, mein dig gibt gerne auch dann mehrere Zeilen aus, wenn der gefragte
Server sich geweigert hat zu antworten.
Sagen wir es lieber so:
-- refused == gut
-- Liste der root nameserver wird ausgegeben == schlecht

Bei sans.org gibt es auch ein Web-Interface, mit dem man das testen kann:
http://isc1.sans.org/dnstest.html

Oder wenn's dig sein soll, bspw:
gut:
| $ dig . NS @192.168.199.1
|
| ; || DiG 9.5.0-P2 || . NS @192.168.199.1
| ;; global options:  printcmd
| ;; Got answer:
| ;; -||HEADER- opcode: QUERY, status: REFUSED, id: 61447
| ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
| ;; WARNING: recursion requested but not available
|
| ;; QUESTION SECTION:
| ;.IN  NS
|
| ;; Query time: 61 msec
| ;; SERVER: 192.168.199.1#53(192.168.199.1)
| ;; WHEN: Wed Jan 21 20:23:35 2009
| ;; MSG SIZE  rcvd: 17

schlecht:
| $ dig . NS
|
| ; || DiG 9.4.2-P2 || . NS
| ;; global options:  printcmd
| ;; Got answer:
| ;; -||HEADER- opcode: QUERY, status: NOERROR, id: 51994
| ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 14
|
| ;; QUESTION SECTION:
| ;.IN  NS
|
| ;; ANSWER SECTION:
| . 518052  IN  NS  g.root-servers.net.
| . 518052  IN  NS  e.root-servers.net.
| . 518052  IN  NS  d.root-servers.net.
| . 518052  IN  NS  f.root-servers.net.
| . 518052  IN  NS  b.root-servers.net.
| . 518052  IN  NS  c.root-servers.net.
| . 518052  IN  NS  j.root-servers.net.
| . 518052  IN  NS  i.root-servers.net.
| . 518052  IN  NS  h.root-servers.net.
| . 518052  IN  NS  a.root-servers.net.
| . 518052  IN  NS  k.root-servers.net.
| . 518052  IN  NS  l.root-servers.net.
| . 518052  IN  NS  m.root-servers.net.
|
| ;; ADDITIONAL SECTION:
| a.root-servers.net.   518052  IN  A   198.41.0.4
| a.root-servers.net.   518052  IN  2001:503:ba3e::2:30
| b.root-servers.net.   518052  IN  A   192.228.79.201
| c.root-servers.net.   518052  IN  A   192.33.4.12
| d.root-servers.net.   518052  IN  A   128.8.10.90
| e.root-servers.net.   518052  IN  A   192.203.230.10
| f.root-servers.net.   518052  IN  A   192.5.5.241
| f.root-servers.net.   518052  IN  2001:500:2f::f
| g.root-servers.net.   518052  IN  A   192.112.36.4
| h.root-servers.net.   518052  IN  A   128.63.2.53
| h.root-servers.net.   518052  IN  2001:500:1::803f:235
| i.root-servers.net.   518052  IN  A   192.36.148.17
| j.root-servers.net.   518052  IN  A   192.58.128.30
| j.root-servers.net.   518052  IN  2001:503:c27::2:30
|
| ;; Query time: 0 msec
| ;; SERVER: 127.0.0.1#53(127.0.0.1)
| ;; WHEN: Wed Jan 21 20:27:06 2009
| ;; MSG SIZE  rcvd: 500

Gruß
  mks
--

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] DDOS-Attacke via DNS

2009-01-21 Diskussionsfäden Christian Felsing 
Hallo,

abstellen lässt sich das wie folgt:

1. djbdns benutzen

2. Bind = 9.4 wie folgt konfigurieren:
Global: allow-query { localhost; };
Für jede Zone: allow-query { any; };

Dann sollte Ruhe herrschen.

Grüße
Christian

Markus Schönhaber schrieb:
 Hi!
 
 Wer von Euch einen DNS-Server am öffentlichen Netz betreibt, sollte
 vielleicht mal prüfen, ob dieser sich so verhält wie er sollte, und
 Anfragen nach der root-Zone (.) von nicht autorisierten Clients ablehnt.
 Ansonsten könnte Euer Server als Verstärker für einen seit ein paar
 Tagen laufenden DDOS-Angriff mißbraucht werden.
 
 Gruß
   mks
 --
 
 PUG - Penguin User Group Wiesbaden - http://www.pug.org

--

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] DDOS-Attacke via DNS

2009-01-21 Diskussionsfäden Markus Schönhaber 
Christian Felsing:

 Dann sollte Ruhe herrschen.

Ruhe ist vielleicht etwas übertrieben. Die Antwortpakete mit der
Ablehnung der Anfrage treffen immer noch das Ziel, und je nach
Konfiguration wird der DNS-Server evtl. immer noch die Logs zumüllen,
aber der deutliche Verstärkungseffekt ist immerhin weg.
Ich verwerfe diese Anfragen von den betroffenen Zielen lieber ganz.

Gruß
  mks
--

PUG - Penguin User Group Wiesbaden - http://www.pug.org