viele DNS-Anfragen aus China, sollte ich mir Sorgen machen?

7

Ich habe DNS-Abfrageprotokolle aktiviert und beim Ausführen von "tail -f / var / log / syslog" sehe ich, dass ich Hunderte identischer Anforderungen von einer einzelnen IP-Adresse erhalte:

Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#44334: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#15268: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#59597: query: mydomain.de IN ANY +

Die Frequenz beträgt ungefähr 5 - 10 Anfragen pro Sekunde und dauert ungefähr eine Minute. Danach wiederholt sich der gleiche Effekt von einer anderen IP-Adresse. Ich habe jetzt innerhalb weniger Stunden ungefähr 10000 Anfragen von ungefähr 25 IP-Adressen protokolliert, alle kommen laut "whois [ipaddr]" aus China.

Was geht hier vor sich? Wird mein Nameserver angegriffen? Kann ich etwas dagegen tun?

domain-name-system bind ddos nn4l
quelle
Haben die Abfragen das RD-Bit gesetzt?
Alnitak

Antworten:

17

Was geht hier vor sich? Wird mein Nameserver angegriffen? Kann ich etwas dagegen tun?

Was geht hier vor sich?

Es ist unmöglich, anhand der Munged-Protokolleinträge zu erkennen. Hier nur einige Möglichkeiten:

  • Ihr Service ist in China beliebt. Glückwunsch
  • Jemand hat ein Skript falsch konfiguriert, das Ihre API verwendet
  • Jemandes laufender Code, der DNS-Informationen für Milliarden von Domains sammelt. Dein ist einer von ihnen
  • Ein Spammer fälscht Ihre Domain und ein Mailserver überprüft DNS-Einträge als Teil einer Antispam-Lösung
  • Du wirst angegriffen

Wird mein Nameserver angegriffen?

Bei 5-10 DNS-Anfragen / Sek. Von einer Handvoll IPs? Zweifelhaft. Die meisten mir bekannten DNS-Angriffe verwenden speziell gestaltete Anforderungen, um die internen Funktionen Ihres Servers zu beeinträchtigen oder seine Ressourcen zu überfordern. Wenn Sie fragen müssen, werden Sie im Allgemeinen nicht angegriffen.

Kann ich etwas dagegen tun?

Natürlich können Sie die fehlerhaften IPs in Ihrer Firewall blockieren oder das oben genannte Fail2Ban- Tool installieren .

Aber solltest du?

Denken Sie daran, dass die gesamte Aufgabe Ihres DNS-Servers darin besteht, Anfragen zu beantworten. Sie haben dies bemerkt, nachdem Sie die Abfrageprotokollierung aktiviert und die Ausgabe überwacht haben. Sehen Sie eine verrückte CPU-Auslastung? Netzwerk-E / A? Werden andere, bekanntermaßen legitime Anfragen aufgrund von Ressourcenkonflikten nicht bearbeitet?

Wenn nicht, warum würden Sie sie blockieren? Lassen Sie die Protokolle so funktionieren, wie sie entworfen wurden. Wenn Sie sauberere Protokolle wünschen, deaktivieren Sie die Abfrageprotokollierung, bis Sie ein Problem diagnostizieren müssen.

sh-beta
quelle
1
Munged - das ist ein neues Wort für mich; Das muss ich meinem Wortschatz hinzufügen!
Mark Henderson
Vielen Dank, da die zusätzliche Serverlast vernachlässigbar ist, denke ich, dass dies kein echtes Problem ist und ich es nicht beheben sollte.
nn4l
6

Jemand missbraucht Ihren DNS-Server, um einen Verstärkungsangriff gegen die IP-Adresse durchzuführen 121.12.173.191, die von den Angreifern gefälscht wird.

Da DNS hauptsächlich UDP verwendet, ein verbindungsloses Protokoll, ist es trivial, die Quelladresse einer Abfrage zu fälschen und die (größere) Antwort an den tatsächlichen Eigentümer dieser gefälschten Adresse zurückzusenden.

Die Verwendung von ANYAbfragen zur Erzielung einer Verstärkung ist in DNS-Kreisen bekannt, wurde jedoch erst vor relativ kurzer Zeit von Hackern missbraucht.

Wenn Sie die IP-TTLs der eingehenden Pakete überwacht haben, sind diese wahrscheinlich inkonsistent. Dies zeigt an, dass die gefälschten Pakete viele verschiedene Wege einschlagen, um Sie zu erreichen, obwohl sie alle vom selben Ort stammen.

Möglicherweise sehen Sie nur 5-10 Pakete pro Sekunde, aber die Angreifer verwenden viele andere Hosts, um die Zieladresse zu sättigen.

Alnitak
quelle
Dies ist die richtige Antwort. Informationen zum Einschränken der Reaktionen auf diese Art von Angriffen finden Sie unter redbarn.org/dns/ratelimits .
Dan
@Dan ja, diese Patches waren nicht verfügbar, als ich diese Antwort schrieb, aber ich kann bestätigen, dass sie sehr effektiv sind.
Alnitak
3

Während Fail2ban funktionieren würde (ich empfehle es für viele Zwecke), wenn Sie dieselbe IP immer und immer wieder sehen, gibt es keinen Grund, sie nicht einfach ganz fallen zu lassen.

Blockieren Sie es an Ihrer Firewall oder verwenden Sie IPTables.

iptables -A INPUT -s 121.12.173.191 -j DROP

Das sollte die Anfragen loswerden.

Wenn andere Quellen auf Ihren Server gelangen, können Sie entweder IPTables verwenden, um Anforderungen von etwas zu blockieren, das nicht aus Ihrem Netzwerk stammt, oder fail2ban verwenden, um temporäres Blockieren zu verwenden.

Fail2ban verwendet IPTables ohnehin, um Anforderungen zu blockieren, sodass das dauerhafte Hinzufügen kein Problem darstellt. Sie sollten auch in Ihrer Distribution nachsehen, wie Sie die Änderung dauerhaft machen können (normalerweise Ihre Netzwerkskripte beim Start). Wenn Sie sich hinter einer Firewall befinden, würde ich dringend empfehlen, zuerst die IP dort zu blockieren.

Unabhängig davon, wie Sie es tun, stellen Sie sicher, dass Sie dokumentieren, dass Sie dies getan haben, damit Sie (oder Ihr Ersatz) nicht in ein paar Monaten herausfinden müssen, warum dies getan wurde.

Bart Silverstrim
quelle
Wenn Ihr DNS-Server nur für interne Anforderungen vorgesehen ist, können Sie ihn auf eine IP-Adresse verschieben, die von außerhalb Ihres Netzwerks nicht erreichbar ist: 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255 oder 192.168.0.0 - 192.168.255.255. Wir verwenden standardmäßig private IP-Adressen für unsere Server, es sei denn, diese dienen speziell Personen, die nicht in unserem Netzwerk sind.
JamesCW
1

5-10 Anforderungen pro Sekunde sind nicht so groß und normalerweise kein Symptom für einen Angriff (außer wenn sie fehlerhafte Abfragen durchführen oder versuchen, einen Exploit zu verwenden, um Systemzugriff durch eine BIND-Sicherheitslücke zu erhalten ... Vielleicht spielt gerade jemand mit einem Skript oder einem Beispielcode, der Ihren DNS-Server als Referenz in einem chinesischen Forum verwendet, oder es ist nur ein Bot, der versucht, rekursive Abfragen zu einigen Domänen durchzuführen (Sie sollten tat in der BIND conf-Datei im Protokollierungsabschnitt http: // www überprüfen .zytrax.com / books / dns / ch7 / logging.html Nur indem Sie überprüfen, welche Art von Abfragen sie ausführen. ) Angesichts der geringen Anzahl von Anfragen (ich hoffe, Ihre DNS-Infrastruktur kann damit überleben!) haben Sie zwei Möglichkeiten:

1 - Blockieren Sie alle chinesischen IP-Adressen (siehe http://www.find-ip-address.org/ip-country/ ).

2 - Begrenzen Sie die Anzahl der Verbindungen mithilfe von iptables auf 3 pro Sekunde und IP

iptables -A INPUT -s ipaddress -p udp --dport 53 -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -s ipaddress -p udp --dport 53 -j DROP

Beachten Sie, dass das Einschränken der gleichzeitigen Verbindungen zu Problemen führen kann, wenn Sie dies für eine IP-Adresse anwenden, da bei legitimen Abfragen legitimer Clients eine Zeitüberschreitung auftritt und die Browsing-Geschwindigkeit eines Clients / Servers mithilfe Ihres DNS verlangsamt wird.

Martino Dino
quelle
0

Seien Sie vorsichtig mit automatischen Blockierungen und Ratenbeschränkungen in zustandslosen Protokollen

Verwenden Sie sie nicht als Whiteout-White-Liste mit Dingen, die Sie niemals blockieren sollten.

Das China-Ding ist kein Einzelfall. Ich weiß nicht warum, aber die Scans sind hartnäckig und systematisch.

Laut dem folgenden Beitrag ist es kein neues Phänomen, aber ich habe bisher keine Erklärung gefunden.

http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/

kerveros
quelle