Перейти к содержимому
Калькуляторы

Непонятное поведения DNS на RouterOS Использование DNS на RouterOS для атаки

Собственно последнее время замечаю как кеш DNS записей забивается записями с одним доменом и кучей значений IP, иногда видно что хост пользуется защитой от DDOS'а, и если очистить кеш, через секунду-две, эта куча туда возвращается.

Пробовал блокировать внешние запросы к DNS фаерволом (из сети провайдера), не помогает, они все равно появляются в кеше, отключал по очереди все интерфейсы (вдруг вирусня на какой то машине), не помогло, в общем я в тупике...

 

Может быть кто знает способ как бороться с этими паразитными запросами?

 

PS: CPU при всем этом моментами проседает аж до ~75%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack

 

 

chain=input action=drop in-interface=INPUT_INTERFACE protocol=udp dst-port=53

chain=input action=drop in-interface=INPUT_INTERFACE protocol=tcp dst-port=53

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нормально оно фаервольным правилом режется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall filter
add action=drop chain=input comment="DNS resolver service filtering LAN" \
  dst-port=53 protocol=udp src-address-list=!DNS_access

 

/ip firewall address-list
add address=192.168.0.0/24 list=DNS_access
add address=XXX.XXX.XXX.0/21 list=DNS_access

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фаерволом обрезал как написал 0pl0pl, и о чуда, стал резать наконец то :) , но непонятно как они постоянно за моим IP угонялись, он динамический из разных сетей. Стоило его обновить в DNS Client, так атака через пару секунд возобновлялась.

Есть подозрение что это кто то в сети провайдера, как бы его вычислить и слить куда нужно?

 

PS: Запросы шли по upd, причем огромная кучища, счетчик срабатывания правила фаервола бежит как бешеный.

Изменено пользователем SOFTOLAB

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

непонятно как они постоянно за моим IP угонялись, он динамический из разных сетей.

 

Ещё один довод в пользу IPv6 - диапазоны сетей там просканировать гораздо сложнее, чем в IPv4.

 

Стоило его обновить в DNS Client, так атака через пару секунд возобновлялась.

 

Это и есть ответ - к доменному имени они обращались, а не к определённому ip.

 

Есть подозрение что это кто то в сети провайдера, как бы его вычислить и слить куда нужно?

 

Это ботнет, сливать надо тех кто запросы делал по Вашему DynDNS доменному имени, хотя скорее всего это тоже смысла не имеет - это могут быть рядовые системы ботнета.

 

PS: Запросы шли по upd, причем огромная кучища, счетчик срабатывания правила фаервола бежит как бешеный.

 

Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

cvb, у меня динамический DNS не настроен, так что это явно не через него.

Проблему решил, но хулигана наказать хочется, роутер грелся сутки почти, мне кажется что кто то в локалке это.

Сейчас поток запросов спал, т.к. идет отлуп, но время от времени несколько запросов от кого то приходят, и счетчик понемногу увеличивается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay.

 

Нужно поставить отдельный DNS сервер, или вообще его не использовать, выдавая абонентам чужой, например гуглевский.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95, дак у меня гуглояндосвоский и используется, а микротик судя по всему просто кеширует запросы что бы быстрее выходило. Как такого полноценного DNS у него же нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Свой DNS relay в домосети нужен только если требуется подсовывать юзерам свои ресурсы по чужим именам) Либо на случай падения DNS аплинка, а такое бывает раз в два года, в таких ситуациях не грех вручную его открыть, а потом закрыть. В других случаях работа DNS на МТ - только бессмысленное разбазаривание CPU.

Изменено пользователем Барагоз

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95, дак у меня гуглояндосвоский и используется, а микротик судя по всему просто кеширует запросы что бы быстрее выходило. Как такого полноценного DNS у него же нет.

 

Так сначала идет запрос от клиента на микротик, потом от него на гугл, после чего он сохраняет данные у себя. А можно его отключить и абонентам выдавать 8.8.8.8 в виде адреса DNS сервера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95, но тогда будет кеш будет в ОС, и по сути будет много запросов к DNS, по идее когда в кеше микротика, то должны быстрее IP адреса доменов получаться новыми клиентами. Пока он не мешает, пусть будет, от нахальных "хакеров" я фаерволом избавился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Eсли кому интересно, вот как это выглядит со стороны abuse-сервиса провайдера.

 

письмо от abusereports(a)gameservers.com

Recently, we have detected a DDOS attack from X.Y.Z.191:53.

Based on the source port number, this likely indicates an open DNS resolver on your network.  Open resolvers are very commonly abused to conduct DDOS attacks.  Please see http://openresolverproject.org/ or http://www.team-cymru.org/Services/Resolvers/ for more information.

We would ask that you either limit access to this resolver to prevent it from being abused, or implement one of the patches described on http://openresolverproject.org/ or http://www.team-cymru.org/Services/Resolvers/instructions.html .  If you are not sure how to do this, we have some instructions available at http://abusereports.gameservers.com/#dns

You can confirm this host is vulnerable by running the following command:

dig example.com @X.Y.Z.191

If you see a valid response, this is proof that the machine is vulnerable and actively being used to conduct DDOS attacks.  Please note that it's possible this machine has rate limits to help prevent abuse.  We're unable to confirm if that's the case, but we can tell you with certainty this machine has been involved in an attack against us.
Our detection systems automatically merge duplicate log entries, however we have the following records:
[2014-01-03 04:39:22 GMT] IP X.Y.Z.191:53 > 68.232.171.217:49765 UDP, length 16687104, packets 4096
[2014-01-03 04:39:50 GMT] IP X.Y.Z.191:53 > 68.232.171.217:57669 UDP, length 16687104, packets 4096
[2014-01-03 04:43:14 GMT] IP X.Y.Z.191:53 > 68.232.171.217:13753 UDP, length 16687104, packets 4096
[2014-01-03 04:44:52 GMT] IP X.Y.Z.191:53 > 68.232.171.217:8915 UDP, length 16687104, packets 4096
[2014-01-03 04:47:15 GMT] IP X.Y.Z.191:53 > 68.232.171.217:14126 UDP, length 16687104, packets 4096
[2014-01-03 05:23:19 GMT] IP X.Y.Z.191:53 > 68.232.171.217:15168 UDP, length 16687104, packets 4096
[2014-01-03 05:24:22 GMT] IP X.Y.Z.191:53 > 68.232.171.217:11805 UDP, length 16687104, packets 4096
[2014-01-03 05:25:41 GMT] IP X.Y.Z.191:53 > 68.232.171.217:5844 UDP, length 16687104, packets 4096
[2014-01-03 05:25:42 GMT] IP X.Y.Z.191:53 > 68.232.171.217:11655 UDP, length 16687104, packets 4096
[2014-01-03 05:26:27 GMT] IP X.Y.Z.191:53 > 68.232.171.217:10339 UDP, length 16687104, packets 4096
[2014-01-03 05:27:29 GMT] IP X.Y.Z.191:53 > 68.232.171.217:62734 UDP, length 16687104, packets 4096
[2014-01-03 05:27:41 GMT] IP X.Y.Z.191:53 > 68.232.171.217:5206 UDP, length 16687104, packets 4096




If you have any questions about this report, please let us know: abusereports@gameservers.com


=========================================
The recipient address of this report was provided by the Abuse Contact DB by abusix.com. abusix.com does not maintain the content of the database. All information which we pass out, derives from the RIR databases and is processed for ease of use. If you want to change or report non working abuse contacts please contact the appropriate RIR. If you have any further question, contact abusix.com directly via email (info@abusix.com). Information about the Abuse Contact Database can be found here:
https://abusix.com/global-reporting/abuse-contact-db
abusix.com is neither responsible nor liable for the content or accuracy of this message.

 

получил около десятка жалоб на своих пользователей. просканировав их, обнаружил, что у всех - микротики. просканировал других пользователей.

выцепил 20 микротиков и только у двух был закрыт dns. Намечается плохая тенденция - микротики ставятся или кухарками, или руко>|<опыми админами. IMHO, надо пинать вендора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вывод: надо пинать вендора Mikrotik, дабы прекратили делать Open DNS relay.

Mikrotik на безопасность срал и на хотелки их собственных клиентов, пока это не угрожает их продажам. Если вдруг кто-то напишет качественную статью которая вылезет в топ новостей - тогда зашевелятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два:

 

/ip firewall filter

add action=drop chain=input comment="disable dns requests from internet" dst-port=53 in-interface=ether3-SMARTS protocol=tcp

add action=drop chain=input comment="disable dns requests from internet" dst-port=53 in-interface=ether3-SMARTS protocol=udp

 

и имею вот такую картину:

X1MMi6M.png

Изменено пользователем vnkorol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два:

От того что вы заткнули уши уровень шума вокруг не изменился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте перед вашим микротиком еще один микротик и зарубите все правила на нем, тогда до основного ничего не долетит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А лучше еще третий микротик поставить у апстрима: и трафик сэкономите и апстрима повеселите!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте перед вашим микротиком еще один микротик и зарубите все правила на нем, тогда до основного ничего не долетит.

 

Да ну нафиг! :(

 

Подскажите, что делаю не так. Белый айпи, есть запись в днс (есть необходимость). В начале списка правил вот эти два:

От того что вы заткнули уши уровень шума вокруг не изменился.

 

Кстати, через некоторое время пропала эта куча соединений. Осталось штук 5 и трафик, соответственно, с 200 килобайт где-то до 30 упал... Успокоиться и не брать близко к сердцу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vnkorol, не парься, главное что эти ребята теперь тебе железку не кладут своими запросами и ладно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А глупый вопрос - на другом роутере то же самое было бы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А глупый вопрос - на другом роутере то же самое было бы?

То что ты уничтожаешь полученные пакеты никак не мешает их тебе отправлять.

Можешь вообще оставить одно запрещающее всё правило и это никак не помешает забить всю входящую полосу до твоего роутера.

Любой исправный роутер сначала получает пакет потом с ним что то делает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ясно, спасибо. Этим кулхакерам и ботнетчикам яйца в тисках давить надо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, свои сети на Open DNS Resolver (Relay) можно смотреть тут:

http://openresolverproject.org/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никрофилией какой-то от этой темы отдаёт.

 

У nmap есть скрипт, который позволяет определять открытые рекурсивные днс-ы:

nmap -p53 -sU -oG --open --script=dns-recursion 127.0.0.0/8

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.