Não sei por que este pacote vem: resposta do dns 127.0.0.1

Navegue suas respostas
8

Eu preciso que vocês ajudem.

Estou usando muitos IPs públicos para servidores que abrem apenas uma porta para serviço. E também usando o switch L3 para balanceamento de carga. (Eu os usei para EXDNS, Pulic-web, etc.)

Neste ambiente, encontrei alguns pacotes que vieram de muitos IPs públicos com 53 portas para meus IPs públicos com qualquer porta, não com a porta que estou usando. E o nome do domínio era xxxx.x99moyu.net (a parte mais baixa do domínio foi alterada aleatoriamente). Este é o pacote ACK e inclui a resposta 127.0.0.1 para a consulta. Mas nossos servidores nunca enviam consultas DNS para esses domínios. Um dos pacotes que tenho é

* ---------------------------------------------- --------------------

IPv4, Src: 171.125.150.23, Dst: 112.x.x.x (meu ip)
UDP, Src Porto: 53, Dst Porto: 54162
Sistema de nomes de domínio (resposta)
 Perguntas: 1
 Resposta RRs: 1
 Consultas: tnczmz.x99moyu.net: tipo A, classe IN
 Respostas: tnczmz.x99moyu.net: digite A, class IN, addr 127.0.0.1
-------------------------------------------------- ------------------ *

Quando vi esses pacotes primeiro, escreva um senário sobre o ataque de amplificação de DNS. Usando servidores DNS na internet e meu ip público para src.ip, meu servidor receberá muitos pacotes de resposta de servidores DNS. Mas os alvos são muito grandes para o sucesso deste ataque, porque mais de 200 servidores obtiveram esses pacotes e cada servidor recebeu apenas 3 a 5 dns de respostas.

Então, se alguém tiver uma experiência semelhante ou souber o motivo pelo qual aconteceu, avise-me. THX.

    
por Mr.Bae 14.12.2015 / 08:58

2 respostas

13

Com os pacotes remotos tendo uma porta de origem de 53, uma das quatro coisas geralmente é o caso:

  1. Você recebeu endereços IP que eram usados anteriormente por dispositivos com uma porta de escuta 53, e dispositivos que sabiam sobre isso no passado ainda tentam usá-lo. (poderia ter sido um servidor autoritativo ou um resolvedor aberto)
  2. Seus dispositivos estão participando de um ataque.
  3. Esses pacotes estão sendo refletidos em você e você é o alvo do ataque, como você está suspeitando.
  4. Estes pacotes estão sendo refletidos em você e você não é o alvo do ataque. Seu IP é o único que eles estão fingindo.

Muitas pessoas confundem # 1 com um ataque ao servidor (# 3). Você tem que olhar para a quantidade de tráfego de entrada para avaliar, e desde que você não está reclamando sobre a sua largura de banda sendo sufocada por isso, é improvável. Vamos descartar o nº 3.

Nossa próxima dica é o nome da consulta: tnczmz.x99moyu.net . Nomes como esse são familiares para qualquer um que tenha operado servidores DNS recursivos de alto volume nos últimos anos (e tem prestado atenção): esse é um " Subdomínio Pseudo-Aleatório "aka" Tortura da Água ". Não vou entrar em detalhes exaustivos aqui, mas a idéia é gerar milhares de consultas aleatórias sem cache em um domínio para que todas as solicitações sejam enviadas para os servidores de nomes daquele domínio, a verdadeira vítima do ataque. Nesse caso, eles são os servidores de nomes do Cloudflare: 

$ dig +short x99moyu.net NS
darwin.ns.cloudflare.com.
uma.ns.cloudflare.com.

Como tenho certeza de que você não é um administrador de servidor do Cloudflare, agora precisamos considerar a direção dos pacotes para descartar o nº 1. Aqui está o que temos para trabalhar:

  • Fonte: 171.125.150.23 (China)
  • Porta de origem: 53
  • Destino: seu servidor
  • Porta de destino: aleatória

Um IP chinês está enviando pacotes de resposta de DNS. Sabemos que são pacotes de resposta porque contêm uma seção de resposta de DNS. Como nem você nem esse IP remoto são de propriedade da Cloudflare (seus servidores de nomes gerenciam o domínio), podemos supor que um desses IPs seja falsificado. Dada a vítima do ataque (Cloudflare) e como o ataque funciona, o endereço que provavelmente está sendo falsificado aqui é seu. Isso tornaria o IP chinês um servidor que está recebendo as consultas recursivas.

Minha conclusão é que você não é o alvo do ataque nem participa do ataque (o que é o caso mais frequente, você teve sorte). Este é um caso de # 4: o seu IP de origem está apenas sendo falsificado como parte de alguém que está cobrindo a trilha enquanto realiza um ataque contra o Cloudflare.

Em retrospectiva, o segundo item ainda é uma possibilidade. Mesmo que o servidor que mantém seu IP não forneça um ouvinte de DNS, seu servidor pode ficar comprometido e executar um malware que esteja gerando as consultas. Isso pressupõe que sua captura de pacotes está negligenciando as consultas de saída, é claro. (me dei conta de que é ruim assumir que isso teria sido notado)

    
por 14.12.2015 / 19:27
4

Eu não sou um administrador de sistemas, mas um programador que escreve software de servidor DNS. Eu vejo o mesmo problema com o domínio x99moyu.net em nossos servidores de teste e nos servidores de nossos clientes (provedores de IS). Foi relatado há algum tempo pelo nosso cliente, provedor de ISP. Eles reclamaram que sua rede abrandou significativamente, então pegamos amostras do tcpdump e as verificamos.

O que eu vejo nos logs é um tráfego de inundação no UDP, endereçado à porta 53, com A? pedidos para xxx.x99moyu.net, para nomes de domínio inexistentes. Os pacotes têm checksum UDP errado, então eles criam tráfego parasita na rede DNS e nos servidores de carga. Faz até 2/3 do volume de tráfego do DNS para alguns servidores ISP. Ele não carrega muito os servidores, mas diminui a velocidade da rede do cliente devido a atrasos crescentes nas respostas do DNS. Então isso é muito chato. E vejo o mesmo em alguns dos nossos servidores de teste que não são servidores DNS públicos. Então eu acho que os bots atacam qualquer servidor que eles possam achar que escuta a porta 53. O alcance dos IPs de origem é enorme. Eu verifiquei, eles se parecem com números conseqüentes (endereços falsificados). Por um tempo eu não sei como bloquear esse tráfego.

    
por 19.12.2015 / 21:17

Tags

A maneira mais fácil de sair do Ansible playbook durante a depuração Postfix: altere o remetente em mensagens na fila