Re: [OT]: Bind9 Angriffe

To: HP <debian@spahan.ch>
Cc: debian-user-german@lists.debian.org
Subject: Re: [OT]: Bind9 Angriffe
From: Bjoern Meier <bjoern.meier@gmail.com>
Date: Sun, 15 Jul 2012 12:05:16 +0200
Message-id: <[🔎] CAGMPS57Kw4Q5+n_+8m=i+AaYxaXs_FrbyhfAsJjv8KYX4MUPmA@mail.gmail.com>
In-reply-to: <[🔎] 500292FA.5020900@spahan.ch>
References: <[🔎] 4FFD97D8.9070201@hjdt.de> <[🔎] 4FFDA4E2.5050908@spahan.ch> <[🔎] E1Sq6OS-00059l-En@swivel.zugschlus.de> <[🔎] 5001D15B.2050406@spahan.ch> <[🔎] E1SqJTl-0007rY-NM@swivel.zugschlus.de> <[🔎] 500292FA.5020900@spahan.ch>

hi,

Am 15. Juli 2012 11:52 schrieb HP <debian@spahan.ch>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> On 15.07.2012 09:42, Marc Haber wrote:
>> On Sat, 14 Jul 2012 22:06:51 +0200, Hanspeter Spalinger
>> <hanfi@spahan.ch> wrote:
>>> On 14.07.2012 19:44, Marc Haber wrote:
>>>> On Wed, 11 Jul 2012 18:08:02 +0200, HP <debian@spahan.ch>
>>>> wrote:
>>>>> Die Anfragen kommen von Port 53? Normalerweise sollten
>>>>> queries randomisierte ports verwenden (siehe auch
>>>>> dns-spoofing, dan kaminsky, dnssec, etc).
>>>>
>>>> Auch wenn es ein Server ist, der die Anfrage stellt?
>>> Iirc ja. Das war ja gerade das Problem mit dem Cache Poisoning.
>>
>> Danke, dass Du mich motiviert hast, mir das endlich mal wieder
>> anzugucken. Ja, bind 9 in aktueller Version verwendet für seine
>> Queries randomisierte Quellports.
>>
>>> Aber wenn Firewalling ein Problem für den OP ist, braucht er
>>> professionellere Hilfe als meine
>>
>> Oder er lässt es einfach bleiben, korrekt konfigurierte Systeme
>> brauchen keinen Paketfilter.
> Darauf wollte ich hinaus. Der OP hat ein Problem mit zu vielen
> Abfragen. Wenn das legitime Anfragen sind, hilft im Ende nur "mehr Eisen".
> Wenn das aber Anfragen mit gespoofter IP sind, nimmt er (ungewollt) an
> einem DOS Teil. Der Angreifer sendet ein kleines Frage-Paket ( im Log
> 66 Bytes) und er sendet dann grosse Pakete (hier 1160 bytes) an das
> Opfer "zurück".
> https://en.wikipedia.org/wiki/Denial-of-service_attack#Reflected_.2F_Spoofed_attack
> Dagegen kann man was tun,
> http://www.armware.dk/RFC/bcp/bcp38.html
> Aber das ist Sache des ISP, darauf wollte ich mit "professionellere
> Hilfe" hinaus.
>>
>>> Was mir übrigens am OP Log im Nachhinein noch aufgefallen ist:
>>>> Wed Jul 11 17:04:20 2012; UDP; eth2; 1160 bytes; from
>>>> 181.192.8.7:53
>>> to 46.249.48.209:53 Ich dachte immer DNS-UDP-Antworten seien auf
>>> 512 Bytes begrenzt?
>>
>> EDNS0 erlaubt größere Antwortpakete.
> Danke, dass Du mich motiviert hast, mir das endlich mal wieder
> anzugucken. Ich dachte immer EDNS geht nur über TCP. Offenbar dachte
> ich falsch ;-)
>>
>> Grüße Marc
>>

wenn du weißt wie oft deine Domäne frequentiert wird. Kannst auch rate
limits setzen

iptables -I INPUT -p udp --dport 53 -m state --state NEW \
-m recent --set

iptables -I INPUT -p udp --dport 53 -m state --state NEW \
-m recent --update --seconds 60 --hitcount 3 -j DROP

Das wären jetzt 3 pro Minute. Allerdings nur temporär, bitte.

Das ist schon eine Holzhammer-Methode.

Gruß,
Björn

Reply to:

References:
- [OT]: Bind9 Angriffe
  - From: Boris Höffgen <borish@hjdt.de>
- Re: [OT]: Bind9 Angriffe
  - From: HP <debian@spahan.ch>
- Re: [OT]: Bind9 Angriffe
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: [OT]: Bind9 Angriffe
  - From: Hanspeter Spalinger <hanfi@spahan.ch>
- Re: [OT]: Bind9 Angriffe
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: [OT]: Bind9 Angriffe
  - From: HP <debian@spahan.ch>

Prev by Date: Re: [OT]: Bind9 Angriffe
Next by Date: Re: kompletten MS Server in virtuelle Umgebung verfrachten
Previous by thread: Re: [OT]: Bind9 Angriffe
Next by thread: Softraid - grundsätzliche Frage
Index(es):
- Date
- Thread