Jump to content
Калькуляторы

Непонятное поведения DNS на RouterOS Использование DNS на RouterOS для атаки

Собственно последнее время замечаю как кеш DNS записей забивается записями с одним доменом и кучей значений IP, иногда видно что хост пользуется защитой от DDOS'а, и если очистить кеш, через секунду-две, эта куча туда возвращается.

Пробовал блокировать внешние запросы к DNS фаерволом (из сети провайдера), не помогает, они все равно появляются в кеше, отключал по очереди все интерфейсы (вдруг вирусня на какой то машине), не помогло, в общем я в тупике...

 

Может быть кто знает способ как бороться с этими паразитными запросами?

 

PS: CPU при всем этом моментами проседает аж до ~75%.

Share this post


Link to post
Share on other sites

Нормально оно фаервольным правилом режется.

Share this post


Link to post
Share on other sites

/ip firewall filter
add action=drop chain=input comment="DNS resolver service filtering LAN" \
  dst-port=53 protocol=udp src-address-list=!DNS_access

 

/ip firewall address-list
add address=192.168.0.0/24 list=DNS_access
add address=XXX.XXX.XXX.0/21 list=DNS_access

Share this post


Link to post
Share on other sites

Фаерволом обрезал как написал 0pl0pl, и о чуда, стал резать наконец то :) , но непонятно как они постоянно за моим IP угонялись, он динамический из разных сетей. Стоило его обновить в DNS Client, так атака через пару секунд возобновлялась.

Есть подозрение что это кто то в сети провайдера, как бы его вычислить и слить куда нужно?

 

PS: Запросы шли по upd, причем огромная кучища, счетчик срабатывания правила фаервола бежит как бешеный.

Edited by SOFTOLAB

Share this post


Link to post
Share on other sites

непонятно как они постоянно за моим IP угонялись, он динамический из разных сетей.

 

Ещё один довод в пользу IPv6 - диапазоны сетей там просканировать гораздо сложнее, чем в IPv4.

 

Стоило его обновить в DNS Client, так атака через пару секунд возобновлялась.

 

Это и есть ответ - к доменному имени они обращались, а не к определённому ip.

 

Есть подозрение что это кто то в сети провайдера, как бы его вычислить и слить куда нужно?

 

Это ботнет, сливать надо тех кто запросы делал по Вашему DynDNS доменному имени, хотя скорее всего это тоже смысла не имеет - это могут быть рядовые системы ботнета.

 

PS: Запросы шли по upd, причем огромная кучища, счетчик срабатывания правила фаервола бежит как бешеный.

 

Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay.

Share this post


Link to post
Share on other sites

cvb, у меня динамический DNS не настроен, так что это явно не через него.

Проблему решил, но хулигана наказать хочется, роутер грелся сутки почти, мне кажется что кто то в локалке это.

Сейчас поток запросов спал, т.к. идет отлуп, но время от времени несколько запросов от кого то приходят, и счетчик понемногу увеличивается.

Share this post


Link to post
Share on other sites

Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay.

 

Нужно поставить отдельный DNS сервер, или вообще его не использовать, выдавая абонентам чужой, например гуглевский.

Share this post


Link to post
Share on other sites

Saab95, дак у меня гуглояндосвоский и используется, а микротик судя по всему просто кеширует запросы что бы быстрее выходило. Как такого полноценного DNS у него же нет.

Share this post


Link to post
Share on other sites

Свой DNS relay в домосети нужен только если требуется подсовывать юзерам свои ресурсы по чужим именам) Либо на случай падения DNS аплинка, а такое бывает раз в два года, в таких ситуациях не грех вручную его открыть, а потом закрыть. В других случаях работа DNS на МТ - только бессмысленное разбазаривание CPU.

Edited by Барагоз

Share this post


Link to post
Share on other sites

Saab95, дак у меня гуглояндосвоский и используется, а микротик судя по всему просто кеширует запросы что бы быстрее выходило. Как такого полноценного DNS у него же нет.

 

Так сначала идет запрос от клиента на микротик, потом от него на гугл, после чего он сохраняет данные у себя. А можно его отключить и абонентам выдавать 8.8.8.8 в виде адреса DNS сервера.

Share this post


Link to post
Share on other sites

Saab95, но тогда будет кеш будет в ОС, и по сути будет много запросов к DNS, по идее когда в кеше микротика, то должны быстрее IP адреса доменов получаться новыми клиентами. Пока он не мешает, пусть будет, от нахальных "хакеров" я фаерволом избавился :)

Share this post


Link to post
Share on other sites

Eсли кому интересно, вот как это выглядит со стороны abuse-сервиса провайдера.

 

письмо от abusereports(a)gameservers.com

Recently, we have detected a DDOS attack from X.Y.Z.191:53.

Based on the source port number, this likely indicates an open DNS resolver on your network.  Open resolvers are very commonly abused to conduct DDOS attacks.  Please see http://openresolverproject.org/ or http://www.team-cymru.org/Services/Resolvers/ for more information.

We would ask that you either limit access to this resolver to prevent it from being abused, or implement one of the patches described on http://openresolverproject.org/ or http://www.team-cymru.org/Services/Resolvers/instructions.html .  If you are not sure how to do this, we have some instructions available at http://abusereports.gameservers.com/#dns

You can confirm this host is vulnerable by running the following command:

dig example.com @X.Y.Z.191

If you see a valid response, this is proof that the machine is vulnerable and actively being used to conduct DDOS attacks.  Please note that it's possible this machine has rate limits to help prevent abuse.  We're unable to confirm if that's the case, but we can tell you with certainty this machine has been involved in an attack against us.
Our detection systems automatically merge duplicate log entries, however we have the following records:
[2014-01-03 04:39:22 GMT] IP X.Y.Z.191:53 > 68.232.171.217:49765 UDP, length 16687104, packets 4096
[2014-01-03 04:39:50 GMT] IP X.Y.Z.191:53 > 68.232.171.217:57669 UDP, length 16687104, packets 4096
[2014-01-03 04:43:14 GMT] IP X.Y.Z.191:53 > 68.232.171.217:13753 UDP, length 16687104, packets 4096
[2014-01-03 04:44:52 GMT] IP X.Y.Z.191:53 > 68.232.171.217:8915 UDP, length 16687104, packets 4096
[2014-01-03 04:47:15 GMT] IP X.Y.Z.191:53 > 68.232.171.217:14126 UDP, length 16687104, packets 4096
[2014-01-03 05:23:19 GMT] IP X.Y.Z.191:53 > 68.232.171.217:15168 UDP, length 16687104, packets 4096
[2014-01-03 05:24:22 GMT] IP X.Y.Z.191:53 > 68.232.171.217:11805 UDP, length 16687104, packets 4096
[2014-01-03 05:25:41 GMT] IP X.Y.Z.191:53 > 68.232.171.217:5844 UDP, length 16687104, packets 4096
[2014-01-03 05:25:42 GMT] IP X.Y.Z.191:53 > 68.232.171.217:11655 UDP, length 16687104, packets 4096
[2014-01-03 05:26:27 GMT] IP X.Y.Z.191:53 > 68.232.171.217:10339 UDP, length 16687104, packets 4096
[2014-01-03 05:27:29 GMT] IP X.Y.Z.191:53 > 68.232.171.217:62734 UDP, length 16687104, packets 4096
[2014-01-03 05:27:41 GMT] IP X.Y.Z.191:53 > 68.232.171.217:5206 UDP, length 16687104, packets 4096




If you have any questions about this report, please let us know: abusereports@gameservers.com


=========================================
The recipient address of this report was provided by the Abuse Contact DB by abusix.com. abusix.com does not maintain the content of the database. All information which we pass out, derives from the RIR databases and is processed for ease of use. If you want to change or report non working abuse contacts please contact the appropriate RIR. If you have any further question, contact abusix.com directly via email (info@abusix.com). Information about the Abuse Contact Database can be found here:
https://abusix.com/global-reporting/abuse-contact-db
abusix.com is neither responsible nor liable for the content or accuracy of this message.

 

получил около десятка жалоб на своих пользователей. просканировав их, обнаружил, что у всех - микротики. просканировал других пользователей.

выцепил 20 микротиков и только у двух был закрыт dns. Намечается плохая тенденция - микротики ставятся или кухарками, или руко>|<опыми админами. IMHO, надо пинать вендора.

Share this post


Link to post
Share on other sites

Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay.

Mikrotik на безопасность срал и на хотелки их собственных клиентов, пока это не угрожает их продажам. Если вдруг кто-то напишет качественную статью которая вылезет в топ новостей - тогда зашевелятся.

Share this post


Link to post
Share on other sites

Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два:

 

/ip firewall filter

add action=drop chain=input comment="disable dns requests from internet" dst-port=53 in-interface=ether3-SMARTS protocol=tcp

add action=drop chain=input comment="disable dns requests from internet" dst-port=53 in-interface=ether3-SMARTS protocol=udp

 

и имею вот такую картину:

X1MMi6M.png

Edited by vnkorol

Share this post


Link to post
Share on other sites
Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два:

От того что вы заткнули уши уровень шума вокруг не изменился.

Share this post


Link to post
Share on other sites

Поставьте перед вашим микротиком еще один микротик и зарубите все правила на нем, тогда до основного ничего не долетит.

Share this post


Link to post
Share on other sites

А лучше еще третий микротик поставить у апстрима: и трафик сэкономите и апстрима повеселите!

Share this post


Link to post
Share on other sites

Поставьте перед вашим микротиком еще один микротик и зарубите все правила на нем, тогда до основного ничего не долетит.

 

Да ну нафиг! :(

 

Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два:

От того что вы заткнули уши уровень шума вокруг не изменился.

 

Кстати, через некоторое время пропала эта куча соединений. Осталось штук 5 и трафик, соответственно, с 200 килобайт где-то до 30 упал... Успокоиться и не брать близко к сердцу?

Share this post


Link to post
Share on other sites

vnkorol, не парься, главное что эти ребята теперь тебе железку не кладут своими запросами и ладно.

Share this post


Link to post
Share on other sites

А глупый вопрос - на другом роутере то же самое было бы?

Share this post


Link to post
Share on other sites
А глупый вопрос - на другом роутере то же самое было бы?

То что ты уничтожаешь полученные пакеты никак не мешает их тебе отправлять.

Можешь вообще оставить одно запрещающее всё правило и это никак не помешает забить всю входящую полосу до твоего роутера.

Любой исправный роутер сначала получает пакет потом с ним что то делает.

Share this post


Link to post
Share on other sites

Ясно, спасибо. Этим кулхакерам и ботнетчикам яйца в тисках давить надо...

Share this post


Link to post
Share on other sites

Никрофилией какой-то от этой темы отдаёт.

 

У nmap есть скрипт, который позволяет определять открытые рекурсивные днс-ы:

nmap -p53 -sU -oG --open --script=dns-recursion 127.0.0.0/8

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this