DNS DDoS ojačitveni napadi

[PetavTrnu]

Mogoče pa je na dotični napravi problem izključno posodabljanje programske opreme. Razlog zanj pa je potem lahko tudi strojna oprema.

[GregecSLO]

Težko ampak OK.
Lahko tudi, vendar še vedno je težava SW in ne HW

[tinodj]

Samo da javim:

Na en IP imam Win7 - in sem dobil ta sms ze 6krat. Trikrat sem klical, danes so me celo oni poklicali.

Zelo cudno da so vedno insistirali da preverim kaj je na router-ju (wrt54gl), poleg tega da sem jim vedno razlozil da je to staticna IP nastavljena na win7. Potem smo se lotili windowsa, in ko sem rekel da nimam noben DNS streznik gor (oz. ne da bi vedel) so vedno odnehali in so rekli da bojo spet poklicali.

Zato, danes sem se zadevo lotil sam, sem se še mal potrudil in glej ga zlomka:

Internet connection sharing je to kar ima not DNS. In tocno tuki je bil problem. Zato, Windows firewall, Inbound rules, Internet Connection Sharing (DNS Server-In) > Disable.

Mystery solved.

Upam da bo komu prav prislo.

[Knez_]

Če bi rad kdo prebral malo več o takšnih tipih napadov naj prebere http://securitytnt.com/dns-amplification-attack/ (cca 5 minut), video https://www.youtube.com/watch?v=xR_lHN8wKHA (DNS amplification se začne ob 6:20, traja pa kako minuto), za tiste ki želijo pa vedeti vse in še več, pa priporočam video na naslovu https://www.youtube.com/watch?v=-mBzpMeiqec (začne se nekje pri 14:00, traja pa vsaj kake pol ure).

Skripta za testiranje odprtih DNS razreševalnih strežnikov se nahaja na naslovu http://www.rula.net/dnscheck.php

thnx

[SubOrbit]

Ali je mogoče zaradi DNS amp napadov ratelimitan port 53/udp na celem networku?

Poskušam poganjati openvpn server na 53/udp in so stvari porazne, v rangu 300kbit/s, takoj ko zamenjam port pa pridem BP do 10mbit?

[NoName]

shouldn't have been... če imaš iodine al kaj podobnega na kakem dinamičnem ip poolu ti iz tujine itak nebi smel delat, ker je, podobno kot smtp promet, blokiran.

[SubOrbit]

Ni iodine, je openvpn, statični IP na optiki... Na statiki verjetno ni blokad, ali pač?
Bom pa zadevo uporabljal iz tujine ja... Bolj kot za morebitno izogibanje kakim captivate portalom rabim zadevo za to, ker veliko mobilnih operaterjev v tujini (UK/francija) onemogoča tethering (telefon-laptop) preko mobilnih omrežij, konzola pa na telefonu ni ravno user friendly...

Sem pa popoldne poskusil se povezati na vpn server še iz drugega operaterja in ni problema s hitrostjo, če pa imam client in server oba v T2 networku, pa zadeva deluje nekako 1mbit/340kbit... Ko zamenjam port na recimo 443 ni težav... Možno, da je kak fubar tudi na moji strani...

[NoName]

Na statiki vsekakor ni omejitev ali blokad. Če imaš možnost, prečekiraj iptables, tc, ...

[GregecSLO]

my my....
Snort danes nori...

Koda: Izberi vse

09/23/13 15:27:11 Potentially Bad Traffic 	199.168.99.130 - 89.XXX.XXX.XXX  53 	1:2016016
ET CURRENT_EVENTS DNS Amplification Attack Inbound

[bostjant]

a še komu dogaja po 10 in več takih queryjev na sekundo,
zdaj jih ignoriram, da ne vračam še malo večjih udp paketov nazaj , vse iz kitajske

Koda: Izberi vse

1-Oct-2013 01:30:44.891 queries: info: client 60.214.139.196#51060: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:44.958 queries: info: client 183.61.241.32#65212: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.022 queries: info: client 183.61.241.32#33188: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.302 queries: info: client 183.61.241.32#15652: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.304 queries: info: client 183.61.241.32#57404: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.342 queries: info: client 183.61.241.32#57460: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.501 queries: info: client 183.60.135.135#63468: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.556 queries: info: client 60.214.139.196#10988: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.717 queries: info: client 183.61.241.32#6963: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.814 queries: info: client 183.61.241.32#6547: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.871 queries: info: client 60.214.139.194#15621: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.914 queries: info: client 183.61.241.32#45717: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.930 queries: info: client 60.214.139.198#46501: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:45.975 queries: info: client 183.61.241.32#50643: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.051 queries: info: client 183.61.241.32#52149: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.081 queries: info: client 183.61.241.32#25685: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.212 queries: info: client 183.60.135.135#24101: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.549 queries: info: client 183.60.135.7#5701: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.605 queries: info: client 60.214.139.194#47189: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.607 queries: info: client 183.61.241.32#19306: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.720 queries: info: client 183.61.241.32#22246: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.810 queries: info: client 183.61.241.32#41619: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:46.867 queries: info: client 183.61.241.32#1610: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:47.019 queries: info: client 60.214.139.196#63962: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:47.237 queries: info: client 183.61.241.32#10922: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:47.296 queries: info: client 183.61.241.32#27594: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:47.296 queries: info: client 183.61.241.32#8646: view external: query: 30259.info IN ANY +E
11-Oct-2013 01:30:47.328 queries: info: client 60.214.139.194#43286: view external: query: 30259.info IN ANY +E
:

[NoName]

ja, sem seznanjen že od včeraj, zato pa še en razlog več za zaprtje DNS razreševalnih strežnikov za ves svet...

[Boss1]

Ali ima t-2 dns strežnike zaklenjene na t-2 omrežje? Preselili smo strežnik na novo lokacijo in javlja "Query refused".

[NoName]

Da, T-2 rekurzivni DNS strežniki odgovarjajo le T-2 naročnikom. Priporočam, da uporabiš DNS serverje svojega novega ponudnika.

[RobertM]

Dolgo so odlašali z mojimi IPji
Sedaj (v petek) pa sem postal žrtev na vseh Mikrotikih z IP 89.212.x.y
Očitno sedaj Kitajci in Rusi skeniraji tale pool in uporabljajo vse kar je na voljo

[|DSI|]

Ja, zadnje čase se jim kar da. Se opazi tudi po spam in dictionary napadih.

Pri meni v 89.212.x.y prevladujejo Vietnamci, sledijo Kitajci, Kazahstanci, Japonci in šele potem Rusi.
Recimo top 10 zadnjega tedna glede na ASN številko (ja...sem si šel prav skripto spisat)

Koda: Izberi vse

ASN: AS45899 VNPT Corp
ASN: AS7552 Viettel Corporation
ASN: AS24086 Viettel Corporation
ASN: AS18403 The Corporation for Financing & Promoting Technology
ASN: AS45543 SaiGon Tourist cable Televition Company
ASN: AS17816 China Unicom IP network China169 Guangdong province
ASN: AS10066 CJ-CABLENET
ASN: AS35104 AS JSC KazTransCom
ASN: AS4713 NTT Communications Corporation
ASN: AS39501 Neda Gostar Saba Data Transfer Company Private Joint