Pacotes IP suspeitos na porta 53

Question

Pacotes IP suspeitos na porta 53

#1 resposta do (3 votos)

2

Eu descobri um problema estranho e espero que alguém possa me ajudar a corrigi-lo. Se eu estiver capturando os pacotes ip na interface de rede em1 na porta 53 com o comando " tcpdump -i em1 -vvv -s 0 -l -n porta 53 ", estou obtendo resultados estranhos (abaixo é uma parte deles), continuamente vêm os pacotes de IPs desconhecidos (4-5 IP repetidamente). No servidor executa o servidor DNS centos7 e Bind9. Se eu desativar o serviço nomeado ou o serviço de rede, os pacotes ainda estarão chegando. Eu mudei o IP privado do servidor de 10.10.10.100 para 10.10.10.xxx e o problema ainda está ativo, os pacotes IP estão chegando continuamente ao IP 10.10.10.100 original. Eu reiniciei o servidor várias vezes, sem resultado.

Minha pergunta é que, posso ignorar isso? Isso é um ataque de ddos? Baseado no fato de que, com o serviço de rede desligado, o problema ainda persiste, acho que isso pode ser um bug ou um vírus. É?

09:13:28.941958 IP (tos 0x20, ttl 105, id 12674, offset 0, flags [DF], proto TCP (6), length 52)
    107.167.18.163.32902 > 10.10.10.100.domain: Flags [S], cksum 0x9538 (correct), seq 2019438094, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
09:13:28.942006 IP (tos 0x20, ttl 64, id 41456, offset 0, flags [DF], proto TCP (6), length 40)
    10.10.10.100.domain > 107.167.18.163.32902: Flags [.], cksum 0x328e (correct), seq 0, ack 1, win 14600, length 0
09:13:29.128215 IP (tos 0x20, ttl 103, id 54720, offset 0, flags [DF], proto TCP (6), length 52)
    107.167.18.163.32902 > 10.10.10.100.domain: Flags [S], cksum 0x35d2 (correct), seq 2106165321, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0

O servidor está atrás de um roteador cisco e no roteador é uma regra NAT (86.34.156.51 < - > 10.10.10.100). No servidor DNS BIND eu tive que configurar o IP privado local, caso contrário a ligação foi configurada com IP público, os pacotes DNS nunca chegaram ao host que fez a solicitação, (provavelmente o roteador interpretou que o 86.34.156.51 deve rotear de volta ao host (10.10.10.100)). Um outro problema relacionado a isso é que, o valor TTL do pacote DNS é sempre 0 quando chega ao host de destino.

Aqui está o resultado com um sinalizador -A "tcpdump -i em1 -A -vvv -s 0 -l -n porta 53"

11:16:22.681589 IP (tos 0x20, ttl 77, id 55139, offset 0, flags [DF], proto TCP (6), length 52)
    107.167.22.93.59026 > 10.10.10.100.domain: Flags [S], cksum 0x47a6 (correct), seq 1337080454, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
E [email protected]..]


d...5O.:....... .G...............
11:16:22.681638 IP (tos 0x20, ttl 64, id 28261, offset 0, flags [DF], proto TCP (6), length 40)
    10.10.10.100.domain > 107.167.22.93.59026: Flags [.], cksum 0xd525 (correct), seq 0, ack 1, win 14600, length 0
E .(ne@[email protected].


dk..].5..kT na.7|P.9..%..

domain-name-system packet-capture

por Zsigmond Szilveszter 12.02.2015 / 09:34

1 resposta

Tags domain-name-system packet-capture

Systemd: por que não é possível usar% i no primeiro argumento do ExecStart =? Telnet sobre o proxy ipv4 para o host ipv6

score 3 · Accepted Answer

Você observou que os pacotes estão chegando de fora da sua organização por meio de uma regra NAT no roteador, o que traduz 86.34.156.51 < - > %código%. Eu inverto esse endereço e obtenho 10.10.10.100 . Claramente, esta máquina é anunciada para o mundo como um servidor de nomes. Desligar o serviço BIND neste host não impedirá que as consultas sejam concluídas; ele deve alterar o que você envia de volta (ou seja, algum tipo de erro de redefinição / inacessível quando o serviço não está em execução), mas você não diz se o ns1.style2take.ro. s estava em execução quando o serviço estava ativado ou desativado. difícil comentar ainda mais.

Não é insano que servidores de nomes recebam solicitações de pesquisa de DNS. Frequentemente, as pessoas estão procurando por resolvedores abertos, pois são úteis para fins legítimos (resolução de nomes) e impróprios (amplificação de DDoS).

Se você pretende que essa máquina seja um servidor de nomes publicado, verifique se configurou corretamente o BIND (apenas para responder a consultas em seus domínios oficiais e não para resolver recursivamente, para a Internet em geral), Acompanhe seus patches do BIND e não se preocupe com esse tráfego. Em outras palavras, deixe o aplicativo fazer filtragem de camada de aplicativo; um BIND configurado corretamente fará um trabalho melhor de decidir quais consultas responder e quais ignorar, do que qualquer dispositivo de filtragem que você possa colocar na frente dele.

Se você não pretende que esta máquina seja um servidor de nomes publicado, elimine essa regra NAT e certifique-se de que o endereço e o nome não apareçam em nenhum registro de cola ou em arquivos de zona ativos.

Quanto a ver conteúdo de carga útil, qualquer versão moderna de tcpdump sem nenhum sinalizador extra deve procurar dentro dos pacotes DNS. Aqui está um exemplo de saída do meu servidor de nomes, tcpdump :

[me@lory mail]$ sudo tcpdump port 53
[...]
09:37:23.613422 IP nrdns08.fibertel.com.ar.57799 > ns.teaparty.net.domain: 62409 MX? enjura.com. (28)
[ and many, many more ]