Ich weiß nicht, warum dieses Paket eingeht: DNS-Antwort 127.0.0.1

7

Ich brauche euch Hilfe.

Ich verwende viele öffentliche IP-Adressen für Server, für die nur ein Port für den Dienst geöffnet ist. Und auch mit L3-Schalter für den Lastausgleich. (Ich habe sie für EXDNS, Pulic-Web usw. verwendet.)

In dieser Umgebung habe ich einige Pakete gefunden, die von vielen öffentlichen IPs mit 53 Ports zu meinen öffentlichen IPs mit einem beliebigen Port kamen, nicht von dem Port, den ich verwende. Und der Domainname war xxxx.x99moyu.net (Der niedrigste Teil der Domain wurde zufällig geändert.) Dies ist ein ACK-Paket und enthält die Antwort 127.0.0.1 für die Abfrage. Unsere Server senden jedoch niemals DNS-Anfragen für diese Domänen. Eines der Pakete, die ich habe, ist

* --------------------------------------------- -----------------

IPv4, Src: 171.125.150.23, Dst: 112.xxx (meine IP)
UDP, Src-Port: 53, Dst-Port: 54162
Domain Name System (Antwort)
Fragen: 1
Antwort RRs: 1
Abfragen: tnczmz.x99moyu.net: Typ A, Klasse IN
Antworten: tnczmz.x99moyu.net: Typ A, Klasse IN, Adresse 127.0.0.1
---------------------------- ---------------------------------------- *

Wenn ich diese Pakete zum ersten Mal gesehen habe, schreibe ein Szenario über einen DNS-Verstärkungsangriff. Wenn Sie DNS-Server im Internet und meine öffentliche IP für src.ip verwenden, erhält mein Server viele Antwortpakete von DNS-Servern. Die Ziele sind jedoch zu weit gefasst, um diesen Angriff erfolgreich durchzuführen, da über 200 Server diese Pakete erhalten haben und jeder Server nur 3-5 DNS-Antworten erhalten hat.

Wenn jemand eine ähnliche Erfahrung hat oder den Grund dafür kennt, lassen Sie es mich bitte wissen. Danke.

Mr.Bae
quelle

Antworten:

12

Bei Remote-Paketen mit einem Quellport von 53 ist normalerweise eines von vier Dingen der Fall:

  1. Sie haben IP-Adressen erhalten, die zuvor von Geräten mit einem Überwachungsport 53 verwendet wurden, und Geräte, die in der Vergangenheit davon wussten, versuchen immer noch, diese zu verwenden. (könnte ein autorisierender Server oder ein offener Resolver gewesen sein)
  2. Ihre Geräte nehmen an einem Angriff teil.
  3. Diese Pakete werden auf Sie reflektiert und Sie sind das Ziel des Angriffs, wie Sie vermuten.
  4. Diese Pakete werden auf Sie reflektiert und Sie sind nicht das Ziel des Angriffs. Ihre IP ist zufällig die, die sie vortäuschen.

Viele Leute halten # 1 für einen Angriff auf ihren Server (# 3). Sie müssen sich die Menge des eingehenden Datenverkehrs ansehen, um ihn zu messen, und da Sie sich nicht darüber beschweren, dass Ihre Bandbreite dadurch gedrosselt wird, ist dies unwahrscheinlich. Lassen Sie uns # 3 ausschließen.

Unser nächster Hinweis ist der Abfragename : tnczmz.x99moyu.net. Namen wie dieser sind jedem bekannt, der in den letzten Jahren rekursive DNS-Server mit hohem Volumen betrieben hat (und darauf geachtet hat): Dies ist ein "Pseudo Random Subdomain" -Angriff, auch bekannt als "Water Torture" -Angriff . Ich werde hier nicht ins Detail gehen, aber die Idee ist, Tausende von nicht zwischenspeicherbaren zufälligen Abfragen unter einer Domain zu generieren, damit alle Anfragen an die Nameserver für diese Domain, das wahre Opfer des Angriffs, gesendet werden. In diesem Fall sind sie die Nameserver für Cloudflare:

$ dig +short x99moyu.net NS
darwin.ns.cloudflare.com.
uma.ns.cloudflare.com.

Da ich mir ziemlich sicher bin, dass Sie kein Serveradministrator für Cloudflare sind, müssen wir jetzt die Richtung der Pakete berücksichtigen, um # 1 auszuschließen. Hier ist, womit wir arbeiten müssen:

  • Quelle: 171.125.150.23 (China)
  • Quellport: 53
  • Ziel: Ihr Server
  • Zielport: Zufällig

Eine chinesische IP sendet Ihnen DNS-Antwortpakete. Wir wissen, dass es sich um Antwortpakete handelt, da sie einen DNS-Antwortabschnitt enthalten. Da weder Sie noch diese Remote-IP Cloudflare gehören (ihre Nameserver verwalten die Domain), können wir davon ausgehen, dass eine dieser IPs gefälscht ist. Angesichts des Opfers des Angriffs (Cloudflare) und der Funktionsweise des Angriffs liegt die Adresse, die hier höchstwahrscheinlich gefälscht wird, bei Ihnen. Dies würde die chinesische IP zu einem Server machen, der die rekursiven Abfragen empfängt.

Mein Fazit ist, dass Sie weder das Ziel des Angriffs sind noch am Angriff teilnehmen (was häufig der Fall ist, Sie haben Glück gehabt). Dies ist ein Fall von # 4: Ihre Quell-IP wird nur als Teil einer anderen Person gefälscht, die ihre Spur abdeckt, während sie einen Angriff gegen Cloudflare ausführt.


Im Nachhinein ist # 2 immer noch eine Möglichkeit. Selbst wenn der Server mit Ihrer IP-Adresse keinen DNS-Listener bereitstellt, kann Ihr Server gefährdet sein und Malware ausführen, die die Abfragen generiert. Dies setzt natürlich voraus, dass Ihre Paketerfassung die ausgehenden Abfragen übersieht. (Mir wurde klar, dass es schlecht ist anzunehmen, dass dies bemerkt worden wäre)

Andrew B.
quelle
Ich würde es begrüßen, wenn ein anderer DNS-Administrator mit Erfahrung in diesem Bereich meine Arbeit überprüfen könnte. Hier gab es eine Reihe von Faktoren zu berücksichtigen, und es ist leicht, in das falsche Kaninchenloch zu gelangen. Fühlen Sie sich frei, Ihre eigene Antwort zu posten.
Andrew B
3

Ich bin kein Systemadministrator, sondern ein Programmierer, der DNS-Serversoftware schreibt. Ich sehe das gleiche Problem mit der Domain x99moyu.net auf unseren Testservern und auf Servern unserer Clients (IS-Anbieter). Dies wurde vor einiger Zeit von unserem Kunden, dem ISP-Anbieter, gemeldet. Sie beschwerten sich, dass sich ihr Netzwerk erheblich verlangsamte, also nahmen wir tcpdump-Proben und überprüften sie.

Was ich in Protokollen sehe, ist ein überfluteter Datenverkehr auf UDP, der mit A an Port 53 adressiert ist? Anfragen für xxx.x99moyu.net für nicht vorhandene Domainnamen. Pakete haben eine falsche UDP-Prüfsumme, daher erzeugen sie nur Parasitenverkehr im DNS-Netzwerk und laden Server. Bei einigen ISP-Servern macht es bis zu 2/3 des DNS-Verkehrsvolumens aus. Es lädt nicht viel Server, verlangsamt jedoch die Netzwerkgeschwindigkeit des Clients aufgrund zunehmender Verzögerungen bei den DNS-Antworten. Das ist also ziemlich nervig. Und ich sehe dasselbe auf einigen unserer Testserver, die keine öffentlichen DNS-Server sind. Ich gehe also davon aus, dass die Bots jeden Server angreifen, der Port 53 abhört. Der Bereich der Quell-IPs ist riesig. Ich habe nachgesehen, sie sehen aus wie konsequente Nummern (gefälschte Adressen). Für eine Weile weiß ich nicht, wie ich diesen Verkehr blockieren soll.

Iron Bug
quelle