DNS DDoS ojačitveni napadi

Vse o T-2 internetu
Uporabniški avatar
NoName
Administrator
Prispevkov: 2083
Pridružen: 16. Nov 2006 ob 20:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV

DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 6. Avg 2012 ob 00:07

V zadnjem času opažamo porast t.i. DNS DDoS ojačitvenih (amplification) napadov, pri katerem se za napadanje tujih sistemov izrablja odprte rekurzivne DNS strežnike in pomanjkljivost protokola UDP. Napade smo zaznali na nekaterih tipih usmerjevalnikov s 'po meri' nameščeno programsko opremo (OpenWRT, pfsense, ...), s programsko opremo Dnsmasq, kot tudi na nezaščitenih ISC BIND ter Unbound DNS strežnikih.

Tako lahko tuji sistemi, ki imajo možnost pošiljati omrežne paketke pod potvorjenimi IP naslovi (t.i. IP spoofing), pošiljajo DNS zahtevke na odprte rekurzivne strežnike z IP naslovom napadenega sistema.

Odprti rekurzivni strežnik, zaradi pomanjkljivosti protokola UDP, na prejeto zahtevo odgovori na nepravi potvorjen IP naslov, t.j. IP naslov napadenega sistema. Ker je odgovor DNS strežnika večji od vprašanja govorimo v tem primeru o ojačitvenem napadu, t.i. DNS amplification attack.

Vse naročnike, ki imajo rekurzivni DNS strežnik (bodisi kot lasten servis ali del usmerjevalnika) pozivamo, da onemogočijo funkcijo rekurzivnega DNS ali jo omejijo na zaprt/omejen nabor IP naslovov (ponavadi gre za lokalno omrežje).
Če bi rad kdo prebral malo več o takšnih tipih napadov naj prebere http://securitytnt.com/dns-amplification-attack/ (cca 5 minut), video https://www.youtube.com/watch?v=xR_lHN8wKHA (DNS amplification se začne ob 6:20, traja pa kako minuto), za tiste ki želijo pa vedeti vse in še več, pa priporočam video na naslovu https://www.youtube.com/watch?v=-mBzpMeiqec (začne se nekje pri 14:00, traja pa vsaj kake pol ure).

Skripta za testiranje odprtih DNS razreševalnih strežnikov se nahaja na naslovu http://www.rula.net/dnscheck.php
I can see dumb people...They're all around us... Look, they're even on this forum!

Uporabniški avatar
Anubis
Legenda
Prispevkov: 1316
Pridružen: 19. Mar 2006 ob 16:05
T-2: Že imam
Paket: 100/10
Kraj: Zokiville

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a Anubis » 7. Avg 2012 ob 12:27

Na DD-WRT imam obkljukan DNSMasq, uporabljam pa OpenDNS serverje. A sem ze ogrozena vrsta? :)

Uporabniški avatar
NoName
Administrator
Prispevkov: 2083
Pridružen: 16. Nov 2006 ob 20:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 7. Avg 2012 ob 13:54

dobro vprašanje.. vse je odvisno od politike požarnega zidu. zalaufaj kako konzolco pa z iptables (ali morda iptables-save) počekiraj, kaj kišta naredi s paketi z zunanje mreže, ki se pošiljajo na udp dst port 53.
I can see dumb people...They're all around us... Look, they're even on this forum!

Uporabniški avatar
magecu
Faca
Prispevkov: 130
Pridružen: 3. Sep 2009 ob 21:06
T-2: Že imam
Paket: Oranžni Diamant (VDSL)
Kraj: Ljubljana Tržaška

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a magecu » 7. Avg 2012 ob 15:03

V custum config od dnmask sem nastavil except-interface=<interface of WAN>

Če se ne motim bi moralo bit dovolj, ne?

Uporabniški avatar
Anubis
Legenda
Prispevkov: 1316
Pridružen: 19. Mar 2006 ob 16:05
T-2: Že imam
Paket: 100/10
Kraj: Zokiville

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a Anubis » 7. Avg 2012 ob 15:21

NoName napisal/-a:dobro vprašanje.. vse je odvisno od politike požarnega zidu. zalaufaj kako konzolco pa z iptables (ali morda iptables-save) počekiraj, kaj kišta naredi s paketi z zunanje mreže, ki se pošiljajo na udp dst port 53.
V spominu imam, ko sem pred casom testiral Shields Up iz grc.com, da so bili popolnoma vsi porti Stealthed. Torej verjetno ni navzven nic odprto in je OK?

GregecSLO
Navdušenec
Prispevkov: 638
Pridružen: 29. Sep 2009 ob 18:29
T-2: Že imam
Paket: 20/10

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a GregecSLO » 7. Avg 2012 ob 15:56

mhm :)

Uporabniški avatar
NoName
Administrator
Prispevkov: 2083
Pridružen: 16. Nov 2006 ob 20:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 7. Avg 2012 ob 20:29

za hec sem zalaufal tale grc-ov shields up na svojem IP naslovu in mimogrede laufal tcpdump... kot kaže, shields up preverja odprtost TCP vrat (in ne UDP)... Pri TCP je čisto druga zgodba, ki nima takšnih pomankljivosti kot jih ima UDP, in skorajda onemogoča uporabo IP spoofinga. TCP namreč pozna eno reč, ki sliši na ime three way handshake - najprej odjemalec na strežnik pošlje paket s SYN zastavico, na katerega strežnik odgovori s SYN/ACK, nato pa odjemalec pošlje ACK; nato je zveza 'vzpostavljena', potem se pa lahko oba začneta pogovarjati z neko uporabno vsebino, bodisi zahtevek za spletno stran, prijava v elektronsko pošto, ... kakorkoli... za vsak paketek se potem pošlje ACK.

Kakorkoli že... sm seštrikal eno spletno stran, ki preveri morebitno delovanje caching DNS serverja na IPju, od koder prihaja zahtevek za spletno stran. klik tukaj
I can see dumb people...They're all around us... Look, they're even on this forum!

Uporabniški avatar
Anubis
Legenda
Prispevkov: 1316
Pridružen: 19. Mar 2006 ob 16:05
T-2: Že imam
Paket: 100/10
Kraj: Zokiville

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a Anubis » 7. Avg 2012 ob 22:02

Pravi, da "ni panike". :)
Na logu pa:
89.212.22.216 UDP domain Dropped
Tako da izgleda da blokira. Ceprav se mi zdi, da sem vcasih na OS firewallu opazil kaksne incoming UDP, ki bi po moji logiki morali biti zaustavljeni ze na routerju, ker niso bili NATani.

GregecSLO
Navdušenec
Prispevkov: 638
Pridružen: 29. Sep 2009 ob 18:29
T-2: Že imam
Paket: 20/10

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a GregecSLO » 7. Avg 2012 ob 22:24

NoName napisal/-a:za hec sem zalaufal tale grc-ov shields up na svojem IP naslovu in mimogrede laufal tcpdump... kot kaže, shields up preverja odprtost TCP vrat (in ne UDP)... Pri TCP je čisto druga zgodba, ki nima takšnih pomankljivosti kot jih ima UDP, in skorajda onemogoča uporabo IP spoofinga. TCP namreč pozna eno reč, ki sliši na ime three way handshake - najprej odjemalec na strežnik pošlje paket s SYN zastavico, na katerega strežnik odgovori s SYN/ACK, nato pa odjemalec pošlje ACK; nato je zveza 'vzpostavljena', potem se pa lahko oba začneta pogovarjati z neko uporabno vsebino, bodisi zahtevek za spletno stran, prijava v elektronsko pošto, ... kakorkoli... za vsak paketek se potem pošlje ACK.

Kakorkoli že... sm seštrikal eno spletno stran, ki preveri morebitno delovanje caching DNS serverja na IPju, od koder prihaja zahtevek za spletno stran. klik tukaj
Meni napiše da je slabo :)
Samo imam recursion izklopljen ?

Uporabniški avatar
NoName
Administrator
Prispevkov: 2083
Pridružen: 16. Nov 2006 ob 20:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 7. Avg 2012 ob 22:39

Gregec, dej mi tvoj IP privat, pa bom na roke preveril...
I can see dumb people...They're all around us... Look, they're even on this forum!

Uporabniški avatar
magecu
Faca
Prispevkov: 130
Pridružen: 3. Sep 2009 ob 21:06
T-2: Že imam
Paket: Oranžni Diamant (VDSL)
Kraj: Ljubljana Tržaška

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a magecu » 8. Avg 2012 ob 01:41

NoName pohvalna iniciativa.
Upajmo, da bodo še drugi obiskovalci foruma preizkusili varnost svojih routerjev.

GregecSLO
Navdušenec
Prispevkov: 638
Pridružen: 29. Sep 2009 ob 18:29
T-2: Že imam
Paket: 20/10

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a GregecSLO » 8. Avg 2012 ob 09:23

OK za tiste z Windows DNS server, ki imajo samo authority za svoje domene...
Da ne vrača še root serverjev, je treba narest primarno cono, poimenovano "." (pika, brez narekovajev)
Tako rata DNS avtoritativen samo za domene, ki jih hosta in vse ostalo zavrne (ne vrne niti root serverjev, thx noname za manual check :)).
Tole bo še noname preveril pri meni, sam mora da dela :)

Koda: Izberi vse

~$ dig @89.142.XXX.XXX www.google.si

; <<>> DiG 9.6.1-P2 <<>> @89.142.XXX.XXX www.google.si
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 14722
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.google.si.			IN	A

;; AUTHORITY SECTION:
.			3600	IN	SOA	mojdns. hostmaster. 2012080801 900 600 86400 3600

;; Query time: 8 msec
;; SERVER: 89.142.XXX.XXX#53(89.142.193.39)
;; WHEN: Wed Aug  8 09:24:54 2012
;; MSG SIZE  rcvd: 82
Priponke
Untitled.png

Uporabniški avatar
NoName
Administrator
Prispevkov: 2083
Pridružen: 16. Nov 2006 ob 20:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 8. Avg 2012 ob 10:32

Lahko pa poskusite tudi takole:

http://technet.microsoft.com/en-us/libr ... 71738.aspx
To disable recursion on the DNS server using the Windows interface

Open DNS Manager.

In the console tree, right-click the applicable DNS server, then click Properties.

Where?

DNS/applicable DNS server

Click the Advanced tab.

In Server options, select the Disable recursion check box, and then click OK.

Additional considerations

To open DNS Manager, click Start, point to Administrative Tools, and then click DNS.

If you disable recursion on the DNS server, you will not be able to use forwarders on the same server.

To disable recursion on the DNS server using a command line

Open a command prompt.

Type the following command, and then press ENTER:

dnscmd <ServerName> /Config /NoRecursion {1|0}
I can see dumb people...They're all around us... Look, they're even on this forum!

GregecSLO
Navdušenec
Prispevkov: 638
Pridružen: 29. Sep 2009 ob 18:29
T-2: Že imam
Paket: 20/10

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a GregecSLO » 8. Avg 2012 ob 10:59

Noname, rekurzijo sem jaz skozi imel izklopljeno...
Pa je še vedno vračal root hinte.... Ko dodaš . zono pa neha vračat root hinte pa vrne samo to, kar sem zgoraj prilimal...
Manj pa že ne more vrnit :)

Uporabniški avatar
NoName
Administrator
Prispevkov: 2083
Pridružen: 16. Nov 2006 ob 20:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 9. Avg 2012 ob 11:54

še en workaround.. Preprosto pobrišeš root hints v nastavitvah strežnika. v tem primeru bo MS DNS pozitivno odgovarjal le na zahtevke za domene, katerih avtoritativen strežnik je, za preostale bo vrnil SERVFAIL.

druga alternativa pa je postavitev ISC BIND ali kakega drugega serverja namesto MS-jevega :twisted:
Priponke
msdns_root_hints.png
ms dns root hints
msdns_root_hints.png (9.94 KiB) Pogledano 51850 krat
I can see dumb people...They're all around us... Look, they're even on this forum!

Odgovori