[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT]: Bind9 Angriffe

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 11.07.2012 17:12, Boris Höffgen wrote:
> Hallo Liste,
> 
> ich beobachte seit einigen Tagen Anfragen auf öffentliche
> Nameserver von wechselnden Adressen mit wechselnden Paketgrößen,
> z.B.
> 
> Wed Jul 11 17:04:20 2012; UDP; eth2; 66 bytes; from
> 46.249.48.209:53 to 181.192.8.7:53 Wed Jul 11 17:04:20 2012; UDP;
> eth2; 1160 bytes; from 181.192.8.7:53 to 46.249.48.209:53
Die Anfragen kommen von Port 53?
Normalerweise sollten queries randomisierte ports verwenden (siehe
auch dns-spoofing, dan kaminsky, dnssec, etc).

> 
> Davon kommen ca. 30 die Sekunde. Ich habe schon versucht mit
> fail2ban dies automatisiert zu blocken, was aber nur bedingt gut
> funktioniert. Hat jemand eine Idee wie ich dieses Problem beheben
> kann?
blockiere doch einfach alles was von port 53 kommt (iirc kannst du
alles was *von* ports < 1024 *an* port 53 geht blockieren).
Wenn das irgendein Botnetz ist, wird sich wahrscheinlich niemand die
Mühe machen die Bots anzupassen.
Wenn das ein Buggy client ist, wird sich der User melden oder jemand
anderen belästigen.
> 
> Gruß Boris
> 
> 


Gruss
HP
- -- 
This address only accepts mail from debian mailing lists.
Everything else is sent to /dev/null

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.19 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk/9pLMACgkQjLvx8ViUjYJvmQCfVYKN5CH2XF++4JREf8akkS71
d2MAoKX8X+SdZtC4fFkTltLlY4Dkk8cj
=Hnw0
-----END PGP SIGNATURE-----
Reply to: