Re: [OT]: Bind9 Angriffe

To: debian-user-german@lists.debian.org
Subject: Re: [OT]: Bind9 Angriffe
From: HP <debian@spahan.ch>
Date: Sun, 15 Jul 2012 11:52:58 +0200
Message-id: <[🔎] 500292FA.5020900@spahan.ch>
In-reply-to: <[🔎] E1SqJTl-0007rY-NM@swivel.zugschlus.de>
References: <[🔎] 4FFD97D8.9070201@hjdt.de> <[🔎] 4FFDA4E2.5050908@spahan.ch> <[🔎] E1Sq6OS-00059l-En@swivel.zugschlus.de> <[🔎] 5001D15B.2050406@spahan.ch> <[🔎] E1SqJTl-0007rY-NM@swivel.zugschlus.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 15.07.2012 09:42, Marc Haber wrote:
> On Sat, 14 Jul 2012 22:06:51 +0200, Hanspeter Spalinger 
> <hanfi@spahan.ch> wrote:
>> On 14.07.2012 19:44, Marc Haber wrote:
>>> On Wed, 11 Jul 2012 18:08:02 +0200, HP <debian@spahan.ch>
>>> wrote:
>>>> Die Anfragen kommen von Port 53? Normalerweise sollten
>>>> queries randomisierte ports verwenden (siehe auch
>>>> dns-spoofing, dan kaminsky, dnssec, etc).
>>> 
>>> Auch wenn es ein Server ist, der die Anfrage stellt?
>> Iirc ja. Das war ja gerade das Problem mit dem Cache Poisoning.
> 
> Danke, dass Du mich motiviert hast, mir das endlich mal wieder 
> anzugucken. Ja, bind 9 in aktueller Version verwendet für seine 
> Queries randomisierte Quellports.
> 
>> Aber wenn Firewalling ein Problem für den OP ist, braucht er 
>> professionellere Hilfe als meine
> 
> Oder er lässt es einfach bleiben, korrekt konfigurierte Systeme 
> brauchen keinen Paketfilter.
Darauf wollte ich hinaus. Der OP hat ein Problem mit zu vielen
Abfragen. Wenn das legitime Anfragen sind, hilft im Ende nur "mehr Eisen".
Wenn das aber Anfragen mit gespoofter IP sind, nimmt er (ungewollt) an
einem DOS Teil. Der Angreifer sendet ein kleines Frage-Paket ( im Log
66 Bytes) und er sendet dann grosse Pakete (hier 1160 bytes) an das
Opfer "zurück".
https://en.wikipedia.org/wiki/Denial-of-service_attack#Reflected_.2F_Spoofed_attack
Dagegen kann man was tun,
http://www.armware.dk/RFC/bcp/bcp38.html
Aber das ist Sache des ISP, darauf wollte ich mit "professionellere
Hilfe" hinaus.
> 
>> Was mir übrigens am OP Log im Nachhinein noch aufgefallen ist:
>>> Wed Jul 11 17:04:20 2012; UDP; eth2; 1160 bytes; from
>>> 181.192.8.7:53
>> to 46.249.48.209:53 Ich dachte immer DNS-UDP-Antworten seien auf
>> 512 Bytes begrenzt?
> 
> EDNS0 erlaubt größere Antwortpakete.
Danke, dass Du mich motiviert hast, mir das endlich mal wieder
anzugucken. Ich dachte immer EDNS geht nur über TCP. Offenbar dachte
ich falsch ;-)
> 
> Grüße Marc
> 

Gruss
HP
- -- 
This address only accepts mail from debian mailing lists.
Everything else is sent to /dev/null

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.19 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAlACkvgACgkQjLvx8ViUjYLh7wCgoTIC9PjoLFBZZnwuLItQYnYE
S0EAnjf+qpOqF3tfdaijsZkqWqTzfsqP
=R40G
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: [OT]: Bind9 Angriffe
  - From: Bjoern Meier <bjoern.meier@gmail.com>

References:
- [OT]: Bind9 Angriffe
  - From: Boris Höffgen <borish@hjdt.de>
- Re: [OT]: Bind9 Angriffe
  - From: HP <debian@spahan.ch>
- Re: [OT]: Bind9 Angriffe
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: [OT]: Bind9 Angriffe
  - From: Hanspeter Spalinger <hanfi@spahan.ch>
- Re: [OT]: Bind9 Angriffe
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

Prev by Date: Re: Invalid GART PTE entry during table walk / ata4.00: failed command: WRITE DMA EXT
Next by Date: Re: [OT]: Bind9 Angriffe
Previous by thread: Re: [OT]: Bind9 Angriffe
Next by thread: Re: [OT]: Bind9 Angriffe
Index(es):
- Date
- Thread