Neuradni T-2 forum

V zadnjem času opažamo porast t.i. DNS DDoS ojačitvenih (amplification) napadov, pri katerem se za napadanje tujih sistemov izrablja odprte rekurzivne DNS strežnike in pomanjkljivost protokola UDP. Napade smo zaznali na nekaterih tipih usmerjevalnikov s 'po meri' nameščeno programsko opremo (OpenWRT, pfsense, ...), s programsko opremo Dnsmasq, kot tudi na nezaščitenih ISC BIND ter Unbound DNS strežnikih.

Tako lahko tuji sistemi, ki imajo možnost pošiljati omrežne paketke pod potvorjenimi IP naslovi (t.i. IP spoofing), pošiljajo DNS zahtevke na odprte rekurzivne strežnike z IP naslovom napadenega sistema.

Odprti rekurzivni strežnik, zaradi pomanjkljivosti protokola UDP, na prejeto zahtevo odgovori na nepravi potvorjen IP naslov, t.j. IP naslov napadenega sistema. Ker je odgovor DNS strežnika večji od vprašanja govorimo v tem primeru o ojačitvenem napadu, t.i. DNS amplification attack.

Vse naročnike, ki imajo rekurzivni DNS strežnik (bodisi kot lasten servis ali del usmerjevalnika) pozivamo, da onemogočijo funkcijo rekurzivnega DNS ali jo omejijo na zaprt/omejen nabor IP naslovov (ponavadi gre za lokalno omrežje).

Če bi rad kdo prebral malo več o takšnih tipih napadov naj prebere http://securitytnt.com/dns-amplification-attack/ (cca 5 minut), video https://www.youtube.com/watch?v=xR_lHN8wKHA (DNS amplification se začne ob 6:20, traja pa kako minuto), za tiste ki želijo pa vedeti vse in še več, pa priporočam video na naslovu https://www.youtube.com/watch?v=-mBzpMeiqec (začne se nekje pri 14:00, traja pa vsaj kake pol ure).

Skripta za testiranje odprtih DNS razreševalnih strežnikov se nahaja na naslovu http://www.rula.net/dnscheck.php

Na DD-WRT imam obkljukan DNSMasq, uporabljam pa OpenDNS serverje. A sem ze ogrozena vrsta?

dobro vprašanje.. vse je odvisno od politike požarnega zidu. zalaufaj kako konzolco pa z iptables (ali morda iptables-save) počekiraj, kaj kišta naredi s paketi z zunanje mreže, ki se pošiljajo na udp dst port 53.

V custum config od dnmask sem nastavil except-interface=<interface of WAN>

Če se ne motim bi moralo bit dovolj, ne?

NoName napisal/-a:dobro vprašanje.. vse je odvisno od politike požarnega zidu. zalaufaj kako konzolco pa z iptables (ali morda iptables-save) počekiraj, kaj kišta naredi s paketi z zunanje mreže, ki se pošiljajo na udp dst port 53.

V spominu imam, ko sem pred casom testiral Shields Up iz grc.com, da so bili popolnoma vsi porti Stealthed. Torej verjetno ni navzven nic odprto in je OK?

za hec sem zalaufal tale grc-ov shields up na svojem IP naslovu in mimogrede laufal tcpdump... kot kaže, shields up preverja odprtost TCP vrat (in ne UDP)... Pri TCP je čisto druga zgodba, ki nima takšnih pomankljivosti kot jih ima UDP, in skorajda onemogoča uporabo IP spoofinga. TCP namreč pozna eno reč, ki sliši na ime three way handshake - najprej odjemalec na strežnik pošlje paket s SYN zastavico, na katerega strežnik odgovori s SYN/ACK, nato pa odjemalec pošlje ACK; nato je zveza 'vzpostavljena', potem se pa lahko oba začneta pogovarjati z neko uporabno vsebino, bodisi zahtevek za spletno stran, prijava v elektronsko pošto, ... kakorkoli... za vsak paketek se potem pošlje ACK.

Kakorkoli že... sm seštrikal eno spletno stran, ki preveri morebitno delovanje caching DNS serverja na IPju, od koder prihaja zahtevek za spletno stran. klik tukaj

Pravi, da "ni panike".

Na logu pa:
89.212.22.216 UDP domain Dropped
Tako da izgleda da blokira. Ceprav se mi zdi, da sem vcasih na OS firewallu opazil kaksne incoming UDP, ki bi po moji logiki morali biti zaustavljeni ze na routerju, ker niso bili NATani.

NoName napisal/-a:za hec sem zalaufal tale grc-ov shields up na svojem IP naslovu in mimogrede laufal tcpdump... kot kaže, shields up preverja odprtost TCP vrat (in ne UDP)... Pri TCP je čisto druga zgodba, ki nima takšnih pomankljivosti kot jih ima UDP, in skorajda onemogoča uporabo IP spoofinga. TCP namreč pozna eno reč, ki sliši na ime three way handshake - najprej odjemalec na strežnik pošlje paket s SYN zastavico, na katerega strežnik odgovori s SYN/ACK, nato pa odjemalec pošlje ACK; nato je zveza 'vzpostavljena', potem se pa lahko oba začneta pogovarjati z neko uporabno vsebino, bodisi zahtevek za spletno stran, prijava v elektronsko pošto, ... kakorkoli... za vsak paketek se potem pošlje ACK.

Kakorkoli že... sm seštrikal eno spletno stran, ki preveri morebitno delovanje caching DNS serverja na IPju, od koder prihaja zahtevek za spletno stran. klik tukaj

Meni napiše da je slabo

Samo imam recursion izklopljen ?

Gregec, dej mi tvoj IP privat, pa bom na roke preveril...

NoName pohvalna iniciativa.
Upajmo, da bodo še drugi obiskovalci foruma preizkusili varnost svojih routerjev.

OK za tiste z Windows DNS server, ki imajo samo authority za svoje domene...
Da ne vrača še root serverjev, je treba narest primarno cono, poimenovano "." (pika, brez narekovajev)
Tako rata DNS avtoritativen samo za domene, ki jih hosta in vse ostalo zavrne (ne vrne niti root serverjev, thx noname za manual check

).
Tole bo še noname preveril pri meni, sam mora da dela

Koda: Izberi vse

~$ dig @89.142.XXX.XXX www.google.si

; <<>> DiG 9.6.1-P2 <<>> @89.142.XXX.XXX www.google.si
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 14722
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.google.si.			IN	A

;; AUTHORITY SECTION:
.			3600	IN	SOA	mojdns. hostmaster. 2012080801 900 600 86400 3600

;; Query time: 8 msec
;; SERVER: 89.142.XXX.XXX#53(89.142.193.39)
;; WHEN: Wed Aug  8 09:24:54 2012
;; MSG SIZE  rcvd: 82

Lahko pa poskusite tudi takole:

http://technet.microsoft.com/en-us/libr ... 71738.aspx

To disable recursion on the DNS server using the Windows interface

Open DNS Manager.

In the console tree, right-click the applicable DNS server, then click Properties.

Where?

DNS/applicable DNS server

Click the Advanced tab.

In Server options, select the Disable recursion check box, and then click OK.

Additional considerations

To open DNS Manager, click Start, point to Administrative Tools, and then click DNS.

If you disable recursion on the DNS server, you will not be able to use forwarders on the same server.

To disable recursion on the DNS server using a command line

Open a command prompt.

Type the following command, and then press ENTER:

dnscmd <ServerName> /Config /NoRecursion {1|0}

Noname, rekurzijo sem jaz skozi imel izklopljeno...
Pa je še vedno vračal root hinte.... Ko dodaš . zono pa neha vračat root hinte pa vrne samo to, kar sem zgoraj prilimal...
Manj pa že ne more vrnit

še en workaround.. Preprosto pobrišeš root hints v nastavitvah strežnika. v tem primeru bo MS DNS pozitivno odgovarjal le na zahtevke za domene, katerih avtoritativen strežnik je, za preostale bo vrnil SERVFAIL.

druga alternativa pa je postavitev ISC BIND ali kakega drugega serverja namesto MS-jevega

Neuradni T-2 forum

DNS DDoS ojačitveni napadi

DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi

Re: DNS DDoS ojačitveni napadi