Ich habe DNS-Abfrageprotokolle aktiviert und beim Ausführen von "tail -f / var / log / syslog" sehe ich, dass ich Hunderte identischer Anforderungen von einer einzelnen IP-Adresse erhalte:
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#44334: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#15268: query: mydomain.de IN ANY +
Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#59597: query: mydomain.de IN ANY +
Die Frequenz beträgt ungefähr 5 - 10 Anfragen pro Sekunde und dauert ungefähr eine Minute. Danach wiederholt sich der gleiche Effekt von einer anderen IP-Adresse. Ich habe jetzt innerhalb weniger Stunden ungefähr 10000 Anfragen von ungefähr 25 IP-Adressen protokolliert, alle kommen laut "whois [ipaddr]" aus China.
Was geht hier vor sich? Wird mein Nameserver angegriffen? Kann ich etwas dagegen tun?
domain-name-system
bind
ddos
nn4l
quelle
quelle
Antworten:
Was geht hier vor sich?
Es ist unmöglich, anhand der Munged-Protokolleinträge zu erkennen. Hier nur einige Möglichkeiten:
Wird mein Nameserver angegriffen?
Bei 5-10 DNS-Anfragen / Sek. Von einer Handvoll IPs? Zweifelhaft. Die meisten mir bekannten DNS-Angriffe verwenden speziell gestaltete Anforderungen, um die internen Funktionen Ihres Servers zu beeinträchtigen oder seine Ressourcen zu überfordern. Wenn Sie fragen müssen, werden Sie im Allgemeinen nicht angegriffen.
Kann ich etwas dagegen tun?
Natürlich können Sie die fehlerhaften IPs in Ihrer Firewall blockieren oder das oben genannte Fail2Ban- Tool installieren .
Aber solltest du?
Denken Sie daran, dass die gesamte Aufgabe Ihres DNS-Servers darin besteht, Anfragen zu beantworten. Sie haben dies bemerkt, nachdem Sie die Abfrageprotokollierung aktiviert und die Ausgabe überwacht haben. Sehen Sie eine verrückte CPU-Auslastung? Netzwerk-E / A? Werden andere, bekanntermaßen legitime Anfragen aufgrund von Ressourcenkonflikten nicht bearbeitet?
Wenn nicht, warum würden Sie sie blockieren? Lassen Sie die Protokolle so funktionieren, wie sie entworfen wurden. Wenn Sie sauberere Protokolle wünschen, deaktivieren Sie die Abfrageprotokollierung, bis Sie ein Problem diagnostizieren müssen.
quelle
Jemand missbraucht Ihren DNS-Server, um einen Verstärkungsangriff gegen die IP-Adresse durchzuführen
121.12.173.191
, die von den Angreifern gefälscht wird.Da DNS hauptsächlich UDP verwendet, ein verbindungsloses Protokoll, ist es trivial, die Quelladresse einer Abfrage zu fälschen und die (größere) Antwort an den tatsächlichen Eigentümer dieser gefälschten Adresse zurückzusenden.
Die Verwendung von
ANY
Abfragen zur Erzielung einer Verstärkung ist in DNS-Kreisen bekannt, wurde jedoch erst vor relativ kurzer Zeit von Hackern missbraucht.Wenn Sie die IP-TTLs der eingehenden Pakete überwacht haben, sind diese wahrscheinlich inkonsistent. Dies zeigt an, dass die gefälschten Pakete viele verschiedene Wege einschlagen, um Sie zu erreichen, obwohl sie alle vom selben Ort stammen.
Möglicherweise sehen Sie nur 5-10 Pakete pro Sekunde, aber die Angreifer verwenden viele andere Hosts, um die Zieladresse zu sättigen.
quelle
Während Fail2ban funktionieren würde (ich empfehle es für viele Zwecke), wenn Sie dieselbe IP immer und immer wieder sehen, gibt es keinen Grund, sie nicht einfach ganz fallen zu lassen.
Blockieren Sie es an Ihrer Firewall oder verwenden Sie IPTables.
iptables -A INPUT -s 121.12.173.191 -j DROP
Das sollte die Anfragen loswerden.
Wenn andere Quellen auf Ihren Server gelangen, können Sie entweder IPTables verwenden, um Anforderungen von etwas zu blockieren, das nicht aus Ihrem Netzwerk stammt, oder fail2ban verwenden, um temporäres Blockieren zu verwenden.
Fail2ban verwendet IPTables ohnehin, um Anforderungen zu blockieren, sodass das dauerhafte Hinzufügen kein Problem darstellt. Sie sollten auch in Ihrer Distribution nachsehen, wie Sie die Änderung dauerhaft machen können (normalerweise Ihre Netzwerkskripte beim Start). Wenn Sie sich hinter einer Firewall befinden, würde ich dringend empfehlen, zuerst die IP dort zu blockieren.
Unabhängig davon, wie Sie es tun, stellen Sie sicher, dass Sie dokumentieren, dass Sie dies getan haben, damit Sie (oder Ihr Ersatz) nicht in ein paar Monaten herausfinden müssen, warum dies getan wurde.
quelle
Ich weiß nicht, ob dies durch automatisiertes Scannen, Spam-Distributoren oder andere Dinge verursacht wird. Sie können jedoch fail2ban installieren und so konfigurieren, dass zu viele DNS-Anforderungen pro definiertem Zeitintervall blockiert werden.
Hoffentlich hilft Ihnen dieser Link: http://www.debian-administration.org/article/Blocking_a_DNS_DDOS_using_the_fail2ban_package
quelle
5-10 Anforderungen pro Sekunde sind nicht so groß und normalerweise kein Symptom für einen Angriff (außer wenn sie fehlerhafte Abfragen durchführen oder versuchen, einen Exploit zu verwenden, um Systemzugriff durch eine BIND-Sicherheitslücke zu erhalten ... Vielleicht spielt gerade jemand mit einem Skript oder einem Beispielcode, der Ihren DNS-Server als Referenz in einem chinesischen Forum verwendet, oder es ist nur ein Bot, der versucht, rekursive Abfragen zu einigen Domänen durchzuführen (Sie sollten tat in der BIND conf-Datei im Protokollierungsabschnitt http: // www überprüfen .zytrax.com / books / dns / ch7 / logging.html Nur indem Sie überprüfen, welche Art von Abfragen sie ausführen. ) Angesichts der geringen Anzahl von Anfragen (ich hoffe, Ihre DNS-Infrastruktur kann damit überleben!) haben Sie zwei Möglichkeiten:
1 - Blockieren Sie alle chinesischen IP-Adressen (siehe http://www.find-ip-address.org/ip-country/ ).
2 - Begrenzen Sie die Anzahl der Verbindungen mithilfe von iptables auf 3 pro Sekunde und IP
Beachten Sie, dass das Einschränken der gleichzeitigen Verbindungen zu Problemen führen kann, wenn Sie dies für eine IP-Adresse anwenden, da bei legitimen Abfragen legitimer Clients eine Zeitüberschreitung auftritt und die Browsing-Geschwindigkeit eines Clients / Servers mithilfe Ihres DNS verlangsamt wird.
quelle
Seien Sie vorsichtig mit automatischen Blockierungen und Ratenbeschränkungen in zustandslosen Protokollen
Verwenden Sie sie nicht als Whiteout-White-Liste mit Dingen, die Sie niemals blockieren sollten.
Das China-Ding ist kein Einzelfall. Ich weiß nicht warum, aber die Scans sind hartnäckig und systematisch.
Laut dem folgenden Beitrag ist es kein neues Phänomen, aber ich habe bisher keine Erklärung gefunden.
http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/
quelle