muitos pedidos de dns da China, devo me preocupar?

7

Eu ativei os logs de consulta do dns e, ao executar "tail -f / var / log / syslog", vejo centenas de solicitações idênticas de um único endereço IP:

Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#44334: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#15268: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#59597: query: mydomain.de IN ANY +

A frequência é de cerca de 5 a 10 solicitações por segundo, durando cerca de um minuto. Depois disso, o mesmo efeito se repete de um endereço IP diferente. Eu já registrei cerca de 10.000 solicitações de cerca de 25 endereços IP em apenas algumas horas, todas elas vêm da China de acordo com o "whois [ipaddr]".

O que está acontecendo aqui? O meu servidor de nomes está sob ataque? Posso fazer algo sobre isso?

    
por nn4l 07.04.2012 / 12:58

6 respostas

16

What is going on here? Is my name server under attack? Can I do something about this?

O que está acontecendo aqui?

É impossível dizer a partir das entradas de log munged. Aqui estão apenas algumas possibilidades:

  • Seu serviço é popular na China. Parabéns
  • Alguém configurou mal um script que usa sua API
  • Alguém está executando um código que reúne informações de DNS para bilhões de domínios. O seu é um deles
  • Um remetente de spam está falsificando seu domínio e um servidor de e-mail está verificando registros DNS como parte de uma solução antispam
  • Você está sob ataque

O meu servidor de nomes está sob ataque?

Em 5-10 solicitações de DNS / s de um punhado de IPs? Duvidoso. A maioria dos ataques DNS que conheço usa solicitações especialmente criadas para mexer com a funcionalidade interna do seu servidor ou sobrecarregar seus recursos. Geralmente, se você tiver que perguntar, você não está sob ataque.

Posso fazer algo sobre isso?

Claro, você pode bloquear os IPs ofensivos em seu firewall ou instalar a ferramenta Fail2Ban .

Mas você deveria?

Lembre-se de que o trabalho inteiro do seu servidor DNS é atender a solicitações. Você percebeu isso depois de ativar o log de consultas e assistiu a saída. Você está vendo o uso louco da CPU? Rede IO? Outras solicitações legítimas conhecidas não são atendidas devido à contenção de recursos?

Se não, por que você os bloquearia? Deixe os protocolos funcionarem da maneira como foram projetados. Se você quiser logs mais limpos, desative o registro de consultas até precisar diagnosticar um problema.

    
por 07.04.2012 / 19:10
4

Alguém está abusando do seu servidor DNS para realizar um ataque de amplificação contra o endereço IP 121.12.173.191 , que está sendo falsificado pelos invasores.

Como o DNS usa principalmente o UDP, que é um protocolo sem conexão , é trivial falsificar o endereço de origem de uma consulta e ter a resposta (maior) retornada ao proprietário real daquele endereço falsificado.

O uso de ANY consultas para obter amplificação é bem conhecido nos círculos de DNS, mas só recentemente foi usado indevidamente por hackers.

É provável que, se você monitorou os IP TTLs dos pacotes de entrada, eles serão inconsistentes - indicando que os pacotes falsificados estão usando muitos caminhos diferentes para chegar até você, embora pareçam estar todos do mesmo lugar.

Você pode estar vendo apenas 5-10 pacotes por segundo, mas os invasores usarão muitos outros hosts para saturar o endereço de destino.

    
por 11.04.2012 / 16:56
3

Embora o Fail2ban funcione (eu o recomendo para muitos propósitos) se você estiver vendo o mesmo IP repetidamente, imutável, não há motivo para não descartá-lo completamente.

Bloqueie-o no firewall ou use o IPTables.

iptables -A INPUT -s 121.12.173.191 -j DROP

Isso deve eliminar as solicitações.

Se você vir outras fontes acessando seu servidor, poderá usar o IPTables para bloquear solicitações de qualquer coisa que não seja da sua rede ou usar o fail2ban para usar o bloqueio temporário.

O Fail2ban usa o IPTables para bloquear solicitações, portanto, incluí-lo permanentemente não é um trecho. Você também vai querer procurar em sua distro como tornar a mudança permanente (geralmente seus scripts de rede na inicialização). Se você está atrás de um firewall, eu recomendo bloquear o IP primeiro.

Independentemente de como você faz isso, certifique-se de documentar que você fez isso para que você (ou seu substituto) não fique preso descobrindo daqui a alguns meses por que isso foi feito.

    
por 07.04.2012 / 13:24
2

Não sei se isso é causado por varredura automatizada, distribuidores de spam ou outras coisas. Mas o que você pode fazer é instalar o fail2ban e configurá-lo para bloquear muitas solicitações de DNS por intervalo de tempo definido.

Espero que este link ajude você a: link

    
por 07.04.2012 / 13:09
1

5-10 reqs por segundo não são uma quantia tão grande e normalmente não são um sintoma de um ataque (exceto se estiverem fazendo consultas malformadas ou tentando usar algum exploit para obter acesso ao sistema com alguma vulnerabilidade do BIND ... Talvez alguém está apenas brincando com um script ou postou algum código de exemplo usando seu servidor DNS como referência em algum fórum chinês ou é apenas um bot tentando fazer consultas recursivas sobre alguns domínios (você deve checar tat no arquivo conf BIND na seção logging link apenas inspecionando que tipo de consultas eles estão fazendo) Dada a baixa quantidade de pedidos (espero que sua infra-estrutura de DNS possa sobreviver com isso!), Você tem duas possibilidades:

1 - Bloqueie todos os endereços IP chineses juntos (consulte link )

2 - Limita o número de conexões a 3 por segundo por IP usando iptables

iptables -A INPUT -s ipaddress -p udp --dport 53 -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -s ipaddress -p udp --dport 53 -j DROP

Observe que limitar as conexões simultâneas pode causar alguns problemas se você aplicar isso a qualquer endereço IP, pois consultas legítimas de clientes legítimos expirarão, diminuindo a velocidade de navegação de qualquer cliente / servidor usando seu DNS ...

    
por 07.04.2012 / 20:42
0

Cuidado com bloqueios automáticos e limites de taxa em protocolos sem estado

Não use whiteout white listando itens que você nunca deve bloquear.

A coisa da China não é um incidente isolado. Eu não sei porque, mas as varreduras são persistentes e sistemáticas.

De acordo com o post a seguir, não é um fenômeno novo, mas ainda não encontrei nenhuma explicação.

link

    
por 08.04.2012 / 21:01