DNS DDoS ojačitveni napadi

Vse o T-2 internetu
Uporabniški avatar
NoName
Administrator
Prispevkov: 2019
Pridružen: 16. Nov 2006 ob 21:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV
Kraj: Šmarje pri Jelšah

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 29. Mar 2013 ob 22:53

Vnovič je opazno povečano število ojačitvenih DDoS napadov preko DNS infrastrukture... Uporabnikom (pa ne le T-2, temveč VSEM) toplo priporočam, da ustrezno zaščitijo svoje DNS resolverje pred zlorabami!
I can see dumb people...They're all around us... Look, they're even on this forum!
Podpirajte avtorja - donirajte preko PayPala! Slika

Jaka
Starešina
Prispevkov: 2711
Pridružen: 21. Jul 2006 ob 13:41
T-2: Še nimam
Paket: Telekom Slovenije
Kraj: Ljubljana

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a Jaka » 30. Mar 2013 ob 00:58

Če imaš vpisan DNS od T-2 potem ni težav?
Slika

Uporabniški avatar
NoName
Administrator
Prispevkov: 2019
Pridružen: 16. Nov 2006 ob 21:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV
Kraj: Šmarje pri Jelšah

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 30. Mar 2013 ob 10:32

T-2 DNS resolverji razrešujejo zahtevke le za T-2 naročnike (oz. za tiste v T-2 omrežju). Problemi so ponavadi sledečega izvora:
1. NEUSTREZNO NASTAVLJENI USMERJEVALNIKI STRANK

Nekateri DSL in kabelski usmerjevalniki imajo privzeto nastavitev
vklopljenega DNS strežnika, čeprav tega stranka ne potrebujejo, saj
uporabljajo DNS strežnike operaterja. Vsem tem strankam se lahko svetuje
izklop DNS strežnika na usmerjevalniku.

2. AVTORITATIVNI STREŽNIKI ZA DOMENE STRANK

Kadar naročnik za svoje domene upravlja z lastnimi DNS strežniki, morajo
ti biti seveda dostopni od povsod. Če pa upravitelj na istem strežniku
vklopi še možnost rekurzivnih poizvedb, potem lahko nevede omogoči
napadalcem uporabo strežnika za posredne napade. Če strežnik to dovoljuje,
naj naročnik omeji rekurzivne poizvedbe na svoja lokalna omrežja (ISC
BIND to omogoča, Microsoft Windows Server pa žal ne), sicer pa naj omeji
dostop do porta 53 od zunaj. Alternativno lahko izklopi možnost rekurzivnih
poizvedb in uporablja strežnik svojega ponudnika (torej vašega).

3. NAMENOMA ODPRTI REKURZIVNI DNS STREŽNIKI

Nekateri DNS strežniki so namenoma odprti celotnim omrežjem. Nekateri
ponudniki tako ponujajo storitve (OpenDNS ali Google Public DNS), vsi pa
svojim naročnikom ponujajo DNS strežnike za normalno delo na internetu.
Če gre za odprt strežnik, ki je pod vašim upravljanjem, potem razmislite,
ali lahko omejite dostop do njega za omrežja pod vašim nadzorom. Dodatno
lahko uvedete rate-limiting za DNS poizvedbe.
I can see dumb people...They're all around us... Look, they're even on this forum!
Podpirajte avtorja - donirajte preko PayPala! Slika

GregecSLO
Navdušenec
Prispevkov: 638
Pridružen: 29. Sep 2009 ob 18:29
T-2: Že imam
Paket: 20/10

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a GregecSLO » 30. Mar 2013 ob 11:33


Uporabniški avatar
erbi
Navdušenec
Prispevkov: 549
Pridružen: 13. Sep 2008 ob 16:03
T-2: Že imam
Paket: 100M/100M+2*TV+2*telefon
Kraj: Celje
Kontakt:

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a erbi » 8. Apr 2013 ob 13:51

Evo, če koga zanima kaj o varnosti in napadih: http://www.cert.si/fileadmin/slike/si-c ... o_2012.pdf

Uporabniški avatar
NoName
Administrator
Prispevkov: 2019
Pridružen: 16. Nov 2006 ob 21:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV
Kraj: Šmarje pri Jelšah

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 15. Maj 2013 ob 13:57

Kodo za preverjanje odprtih DNS resolverjev sem malce posodobil, sedaj izriše veselega ali žalostnega smeškota, odvisno od odprtosti resolverja - hkrati pa izpiše besedilo v angleščini :)
edit: dodano še preverjanje verzije DNS servisa ter navodila za odpravo ranljivosti v primeru odprtega resolverja - zdaj pa rečte, če nism dobr ko kruh!

Skripta za testiranje odprtih DNS razreševalnih strežnikov se nahaja na naslovu http://www.rula.net/dnscheck.php
I can see dumb people...They're all around us... Look, they're even on this forum!
Podpirajte avtorja - donirajte preko PayPala! Slika

Uporabniški avatar
kitl
Administrator
Prispevkov: 7950
Pridružen: 17. Mar 2006 ob 16:20
T-2: Že imam
Paket: 300 Mbit/s - 40 Mbit/s 2x TV

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a kitl » 15. Maj 2013 ob 21:16

NoName dober si kot kremšnita :D
Slika


Lp, Kitl

PetavTrnu
Novinec
Prispevkov: 8
Pridružen: 16. Maj 2013 ob 08:45
T-2: Že imam
Paket: 4/1Mbps

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a PetavTrnu » 16. Maj 2013 ob 10:16

Strani so polne opozoril glede omenjenih napadov in če izvzamem nekaj jedrnatih izjem za tiste uporabnike, ki poganjajo svoj lastni dns strežnik, konkretnih navodil za laične uporabnike nihče ni bil zmožen sestaviti. Težave oz. način razreševanja težav se nekoliko razlikuje glede na proizvajalca in tip usmerjevalnika. V principu naj bi šlo za omejevanje ali bolje, "speljevanje" morebitnega napada na portu 53 na neobstoječo napravo na lokalnem omrežju, torej neuporabljen ip naslov (naj me kdo popravi, če pišem netočnosti).

Usmerjevalniki naj bi že po osnovnih nastavitvah take poizvedbe preprečevali. Problem nastane, ko omenjena privzeta nastavitev pri usmerjevalniku ne deluje. V tem primeru je posodobitev programske opreme (firmware) naprave prvi ukrep. V kolikor to ne pomaga, sledi urejanje dodatnih nastavitev usmerjevalnika. Tu se je v mojem primeru zataknilo. Kot kaže pri usmerjevalniku D-Link DIR-100 nastavitev (DNS relay) nima efekta, zato sem po predlogu tehnične službe iz T-2 poizkusil z nastavitvami DNS prometa. Na dva načina, vendar brez uspeha. Najprej v oddelku "port forwarding", nato pa še v "firewall settings". V obeh primerih je šlo za odobritev DNS prometa na portu 53, protokol UDP, na neobstoječ ip naslov v LAN omrežju.

S skripto, ki jo je uredil NoName, si ne morem pomagati, saj do interneta lahko dostopam le preko modema ponudnika - v tem primeru je algoritem skripte jasno, zadovoljen. Takoj ko vmes povežem usmerjevalnik, dostop do interneta več ne deluje. Očitno ga T-2 omrežje prepozna kot odprt nenadzorovan DNS resolver, ki ogroža varnost. Sicer je delovanje usmerjevalnika normalno - znotraj omrežja zazna vse naprave in preko njega vidim AP točko (drug usmerjevalnik) za brezžični dostop. Ali je možno, da se okvara nahaja zgolj na tistem delu opreme, ki komunicira z zunanjim WAN prometom, na LAN pa brezhibno deluje in se tolčem po glavi zaradi praktično neuporabnega routerja?

Če je komu uspelo z D-Linkom, bi bilo lepo prebrati kakšen podrobnejši nasvet. Sicer pa razmišljam o zamenjavi naprave.


edit: popravljena napačna raba izraza (človek se potrudi pri rabi slovenskega jezika in useka mimo kar vseh 8 od osmih) na katero je opozoril Skorc (glej pripombo spodaj)
Zadnjič spremenil PetavTrnu, dne 16. Maj 2013 ob 10:48, skupaj popravljeno 1 krat.

Skorc
Legenda
Prispevkov: 1275
Pridružen: 21. Jul 2006 ob 11:12
T-2: Že imam
Paket: Malo mešano
Kraj: Pince

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a Skorc » 16. Maj 2013 ob 10:35

Samo ena pripomba: Usmernik je naprava, ki pretvori izmenično napetost v enosmerno. V tvojem prispevku bi moral zapisati usmerjevalnik. Slednji loči, omejuje, preusmerja, ... promet med računalniškimi omrežji.
Lep pozdrav,
Škorc

Slika

Uporabniški avatar
OmegaBlue
Navdušenec
Prispevkov: 613
Pridružen: 4. Sep 2009 ob 09:41
T-2: Že imam
Paket: 20/2

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a OmegaBlue » 16. Maj 2013 ob 10:56

Načeloma routerji nimajo odprtega resolverja na ven, vsaj ne da bi poznal kakšnega - tako da za domače uporabnike je tukaj skrb malo odveč. T-2 omrežje nič ne blokira tvojega routerja kot "ogrožanje varnosti", k večjemu si pokurali vse IP naslove ki so ti na voljo.

Sicer pa.. kaj točno si ti delal ker izgleda ste v sodelovanju s helpdeskom (so tudi biserji tam) veselo pokvaril nastavitve routerja. Za dns resolvanje za routerjem ti ni potrebno nikakršnih portov forwardat nikamor.

PetavTrnu
Novinec
Prispevkov: 8
Pridružen: 16. Maj 2013 ob 08:45
T-2: Že imam
Paket: 4/1Mbps

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a PetavTrnu » 16. Maj 2013 ob 11:34

@OmegaBlue: govoril sem z oddelkom dns@t-2.net. Tistih nastavitev ni težko postaviti nazav v "default". Ampak tudi če jih, dostop ostaja blokiran. Sicer pa kot praviš, "Načeloma routerji nimajo odprtega resolverja na ven", tudi pri D-Linku so nekaj delali na tem http://tsd.dlink.com.tw/temp/PMD/7043/D ... 20note.pdf. Kljub temu se zadeva nikamor ne premakne.

PetavTrnu
Novinec
Prispevkov: 8
Pridružen: 16. Maj 2013 ob 08:45
T-2: Že imam
Paket: 4/1Mbps

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a PetavTrnu » 16. Maj 2013 ob 11:44

Aja, za priključek je dodeljen statični IP. Je pa res, da se po novem (ne vem od kdaj) do dva IP-ja dodelita tudi dinamično. To sem ugotovil potem, ko sem dostopal neposredno preko modema in mi ni šlo v glavo, zakaj ni več potrebno določiti ip, gateway in dns naslovov v omrežnih nastavitvah domačega računalnika. Sicer o spremembah glede dodeljevanja ip naslovov na priključku nismo bili obveščeni.

Uporabniški avatar
Malkec
T-2jevec / Moderator
Prispevkov: 3073
Pridružen: 17. Mar 2006 ob 15:24
T-2: Že imam
Paket: T4 TERA 100/20 FTTH
Kraj: Maribor

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a Malkec » 16. Maj 2013 ob 12:51

Tole je že od nekdaj tako, tudi če imaš statitko, ti vseeno strežnik lahko dodeli do dva ipja.

Uporabniški avatar
NoName
Administrator
Prispevkov: 2019
Pridružen: 16. Nov 2006 ob 21:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV
Kraj: Šmarje pri Jelšah

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a NoName » 16. Maj 2013 ob 16:52

@OmegaBlue, ne le, da imajo nekateri usmerjevalniki odprt DNS resolver 'navzven', nekateri celo pošiljajo DNS requeste z - beri in piši - UDP vrat 0 (Draytek), tretji pošiljajo DNS zahtevke z enega in istega UDP porta (1024 ali kaj podobnega), četrti ne spreminjajo Transaction ID-ja, kar lahko nek zlobnež, s pomočjo nekaj znanja, izkoristi za DNS cache poisoning... Skratka, zaradi površnih implementacij tako kritičnega protokola Interneta pri nekaterih vendorjih je velik problem na medmrežju...

@PetavTrnu, torej, če prav razumem, tvoj D-Link DIR-100 še vedno veselo razrešuje zunanje DNS zahtevke, čeprav v release notes-ih za eno verzijo firmwarea prav lepo piše, da so napako odpravili. Svetujem ti, da še enkrat namestiš programsko opremo, *pred* in *po* namestitvi pa ponastaviš usmerjevalnik na tovarniške nastavitve (factory defaults), morebiti je šlo kaj po zlu med samo namestitvijo.. Če načrtuješ menjavo usmerjevalnika, gre moj glas za Mikrotik opremo, odvisno od zahtev... RB951 ali kaj podobnega, ki te ranljivosti nima, je pa malce bolj 'advanced' zadeva... Cena je pa tudi dokaj ugodna.
I can see dumb people...They're all around us... Look, they're even on this forum!
Podpirajte avtorja - donirajte preko PayPala! Slika

Uporabniški avatar
OmegaBlue
Navdušenec
Prispevkov: 613
Pridružen: 4. Sep 2009 ob 09:41
T-2: Že imam
Paket: 20/2

Re: DNS DDoS ojačitveni napadi

Odgovor Napisal/-a OmegaBlue » 16. Maj 2013 ob 18:59

Ok, bolj malo imam zadnje čase opravka s kinderjajček opremo, nisem vedel da je situacija toliko v kurcu :D

Odgovori