SOFTOLAB Опубликовано 2 января, 2014 · Жалоба Собственно последнее время замечаю как кеш DNS записей забивается записями с одним доменом и кучей значений IP, иногда видно что хост пользуется защитой от DDOS'а, и если очистить кеш, через секунду-две, эта куча туда возвращается. Пробовал блокировать внешние запросы к DNS фаерволом (из сети провайдера), не помогает, они все равно появляются в кеше, отключал по очереди все интерфейсы (вдруг вирусня на какой то машине), не помогло, в общем я в тупике... Может быть кто знает способ как бороться с этими паразитными запросами? PS: CPU при всем этом моментами проседает аж до ~75%. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
0pl0pl Опубликовано 2 января, 2014 · Жалоба http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack chain=input action=drop in-interface=INPUT_INTERFACE protocol=udp dst-port=53 chain=input action=drop in-interface=INPUT_INTERFACE protocol=tcp dst-port=53 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 2 января, 2014 · Жалоба Нормально оно фаервольным правилом режется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 2 января, 2014 · Жалоба /ip firewall filter add action=drop chain=input comment="DNS resolver service filtering LAN" \ dst-port=53 protocol=udp src-address-list=!DNS_access /ip firewall address-list add address=192.168.0.0/24 list=DNS_access add address=XXX.XXX.XXX.0/21 list=DNS_access Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 3 января, 2014 (изменено) · Жалоба Фаерволом обрезал как написал 0pl0pl, и о чуда, стал резать наконец то :) , но непонятно как они постоянно за моим IP угонялись, он динамический из разных сетей. Стоило его обновить в DNS Client, так атака через пару секунд возобновлялась. Есть подозрение что это кто то в сети провайдера, как бы его вычислить и слить куда нужно? PS: Запросы шли по upd, причем огромная кучища, счетчик срабатывания правила фаервола бежит как бешеный. Изменено 3 января, 2014 пользователем SOFTOLAB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cvb Опубликовано 4 января, 2014 · Жалоба непонятно как они постоянно за моим IP угонялись, он динамический из разных сетей. Ещё один довод в пользу IPv6 - диапазоны сетей там просканировать гораздо сложнее, чем в IPv4. Стоило его обновить в DNS Client, так атака через пару секунд возобновлялась. Это и есть ответ - к доменному имени они обращались, а не к определённому ip. Есть подозрение что это кто то в сети провайдера, как бы его вычислить и слить куда нужно? Это ботнет, сливать надо тех кто запросы делал по Вашему DynDNS доменному имени, хотя скорее всего это тоже смысла не имеет - это могут быть рядовые системы ботнета. PS: Запросы шли по upd, причем огромная кучища, счетчик срабатывания правила фаервола бежит как бешеный. Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 4 января, 2014 · Жалоба cvb, у меня динамический DNS не настроен, так что это явно не через него. Проблему решил, но хулигана наказать хочется, роутер грелся сутки почти, мне кажется что кто то в локалке это. Сейчас поток запросов спал, т.к. идет отлуп, но время от времени несколько запросов от кого то приходят, и счетчик понемногу увеличивается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 января, 2014 · Жалоба Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay. Нужно поставить отдельный DNS сервер, или вообще его не использовать, выдавая абонентам чужой, например гуглевский. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 4 января, 2014 · Жалоба Saab95, дак у меня гуглояндосвоский и используется, а микротик судя по всему просто кеширует запросы что бы быстрее выходило. Как такого полноценного DNS у него же нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 5 января, 2014 (изменено) · Жалоба Свой DNS relay в домосети нужен только если требуется подсовывать юзерам свои ресурсы по чужим именам) Либо на случай падения DNS аплинка, а такое бывает раз в два года, в таких ситуациях не грех вручную его открыть, а потом закрыть. В других случаях работа DNS на МТ - только бессмысленное разбазаривание CPU. Изменено 5 января, 2014 пользователем Барагоз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 января, 2014 · Жалоба Saab95, дак у меня гуглояндосвоский и используется, а микротик судя по всему просто кеширует запросы что бы быстрее выходило. Как такого полноценного DNS у него же нет. Так сначала идет запрос от клиента на микротик, потом от него на гугл, после чего он сохраняет данные у себя. А можно его отключить и абонентам выдавать 8.8.8.8 в виде адреса DNS сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 5 января, 2014 · Жалоба Saab95, но тогда будет кеш будет в ОС, и по сути будет много запросов к DNS, по идее когда в кеше микротика, то должны быстрее IP адреса доменов получаться новыми клиентами. Пока он не мешает, пусть будет, от нахальных "хакеров" я фаерволом избавился :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MagMike Опубликовано 5 января, 2014 · Жалоба Eсли кому интересно, вот как это выглядит со стороны abuse-сервиса провайдера. письмо от abusereports(a)gameservers.com Recently, we have detected a DDOS attack from X.Y.Z.191:53. Based on the source port number, this likely indicates an open DNS resolver on your network. Open resolvers are very commonly abused to conduct DDOS attacks. Please see http://openresolverproject.org/ or http://www.team-cymru.org/Services/Resolvers/ for more information. We would ask that you either limit access to this resolver to prevent it from being abused, or implement one of the patches described on http://openresolverproject.org/ or http://www.team-cymru.org/Services/Resolvers/instructions.html . If you are not sure how to do this, we have some instructions available at http://abusereports.gameservers.com/#dns You can confirm this host is vulnerable by running the following command: dig example.com @X.Y.Z.191 If you see a valid response, this is proof that the machine is vulnerable and actively being used to conduct DDOS attacks. Please note that it's possible this machine has rate limits to help prevent abuse. We're unable to confirm if that's the case, but we can tell you with certainty this machine has been involved in an attack against us. Our detection systems automatically merge duplicate log entries, however we have the following records: [2014-01-03 04:39:22 GMT] IP X.Y.Z.191:53 > 68.232.171.217:49765 UDP, length 16687104, packets 4096 [2014-01-03 04:39:50 GMT] IP X.Y.Z.191:53 > 68.232.171.217:57669 UDP, length 16687104, packets 4096 [2014-01-03 04:43:14 GMT] IP X.Y.Z.191:53 > 68.232.171.217:13753 UDP, length 16687104, packets 4096 [2014-01-03 04:44:52 GMT] IP X.Y.Z.191:53 > 68.232.171.217:8915 UDP, length 16687104, packets 4096 [2014-01-03 04:47:15 GMT] IP X.Y.Z.191:53 > 68.232.171.217:14126 UDP, length 16687104, packets 4096 [2014-01-03 05:23:19 GMT] IP X.Y.Z.191:53 > 68.232.171.217:15168 UDP, length 16687104, packets 4096 [2014-01-03 05:24:22 GMT] IP X.Y.Z.191:53 > 68.232.171.217:11805 UDP, length 16687104, packets 4096 [2014-01-03 05:25:41 GMT] IP X.Y.Z.191:53 > 68.232.171.217:5844 UDP, length 16687104, packets 4096 [2014-01-03 05:25:42 GMT] IP X.Y.Z.191:53 > 68.232.171.217:11655 UDP, length 16687104, packets 4096 [2014-01-03 05:26:27 GMT] IP X.Y.Z.191:53 > 68.232.171.217:10339 UDP, length 16687104, packets 4096 [2014-01-03 05:27:29 GMT] IP X.Y.Z.191:53 > 68.232.171.217:62734 UDP, length 16687104, packets 4096 [2014-01-03 05:27:41 GMT] IP X.Y.Z.191:53 > 68.232.171.217:5206 UDP, length 16687104, packets 4096 If you have any questions about this report, please let us know: abusereports@gameservers.com ========================================= The recipient address of this report was provided by the Abuse Contact DB by abusix.com. abusix.com does not maintain the content of the database. All information which we pass out, derives from the RIR databases and is processed for ease of use. If you want to change or report non working abuse contacts please contact the appropriate RIR. If you have any further question, contact abusix.com directly via email (info@abusix.com). Information about the Abuse Contact Database can be found here: https://abusix.com/global-reporting/abuse-contact-db abusix.com is neither responsible nor liable for the content or accuracy of this message. получил около десятка жалоб на своих пользователей. просканировав их, обнаружил, что у всех - микротики. просканировал других пользователей. выцепил 20 микротиков и только у двух был закрыт dns. Намечается плохая тенденция - микротики ставятся или кухарками, или руко>|<опыми админами. IMHO, надо пинать вендора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 6 января, 2014 · Жалоба Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay. Mikrotik на безопасность срал и на хотелки их собственных клиентов, пока это не угрожает их продажам. Если вдруг кто-то напишет качественную статью которая вылезет в топ новостей - тогда зашевелятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 16 марта, 2014 (изменено) · Жалоба Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два: /ip firewall filter add action=drop chain=input comment="disable dns requests from internet" dst-port=53 in-interface=ether3-SMARTS protocol=tcp add action=drop chain=input comment="disable dns requests from internet" dst-port=53 in-interface=ether3-SMARTS protocol=udp и имею вот такую картину: Изменено 16 марта, 2014 пользователем vnkorol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 марта, 2014 · Жалоба Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два: От того что вы заткнули уши уровень шума вокруг не изменился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 марта, 2014 · Жалоба Поставьте перед вашим микротиком еще один микротик и зарубите все правила на нем, тогда до основного ничего не долетит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 16 марта, 2014 · Жалоба А лучше еще третий микротик поставить у апстрима: и трафик сэкономите и апстрима повеселите! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 17 марта, 2014 · Жалоба Поставьте перед вашим микротиком еще один микротик и зарубите все правила на нем, тогда до основного ничего не долетит. Да ну нафиг! :( Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два: От того что вы заткнули уши уровень шума вокруг не изменился. Кстати, через некоторое время пропала эта куча соединений. Осталось штук 5 и трафик, соответственно, с 200 килобайт где-то до 30 упал... Успокоиться и не брать близко к сердцу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 17 марта, 2014 · Жалоба vnkorol, не парься, главное что эти ребята теперь тебе железку не кладут своими запросами и ладно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 17 марта, 2014 · Жалоба А глупый вопрос - на другом роутере то же самое было бы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 марта, 2014 · Жалоба А глупый вопрос - на другом роутере то же самое было бы? То что ты уничтожаешь полученные пакеты никак не мешает их тебе отправлять. Можешь вообще оставить одно запрещающее всё правило и это никак не помешает забить всю входящую полосу до твоего роутера. Любой исправный роутер сначала получает пакет потом с ним что то делает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 17 марта, 2014 · Жалоба Ясно, спасибо. Этим кулхакерам и ботнетчикам яйца в тисках давить надо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cvb Опубликовано 11 августа, 2014 · Жалоба Кстати, свои сети на Open DNS Resolver (Relay) можно смотреть тут: http://openresolverproject.org/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 11 августа, 2014 · Жалоба Никрофилией какой-то от этой темы отдаёт. У nmap есть скрипт, который позволяет определять открытые рекурсивные днс-ы: nmap -p53 -sU -oG --open --script=dns-recursion 127.0.0.0/8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...