O que é o boot.servequake.com? Consultas do meu servidor para o DNS para isso, causou DoS

Navegue suas respostas
1

Encontrei um problema que me intriga há vários anos. Espero que alguém me ajude a entender o que está acontecendo ou aponte na direção certa.

Um dos meus servidores (CentOS 6.x) começou a enviar grandes solicitações de DNS para nosso provedor de DNS, causando alertas de DoS.

Como afirmado pelo provedor de DNS, foram enviadas 239.000 consultas / 5min.

Exemplo de registro (o CentOS é 2xx.2xx.2xx.2xx, o DNS é 1xx.1xx.1xx.1xx):

29-Oct-2013 21:24:08.444 queries: client 2xx.2xx.2xx.2xx#38597: view internal: query: boot.servequake.com IN A + (1xx.1xx.1xx.1xx)

29-Oct-2013 21:24:08.445 queries: client 2xx.2xx.2xx.2xx#60776: view internal: query: boot.servequake.com IN A + (1xx.1xx.1xx.1xx)

29-Oct-2013 21:24:08.446 queries: client 2xx.2xx.2xx.2xx#46437: view internal: query: boot.servequake.com IN A + (1xx.1xx.1xx.1xx)

Ações realizadas no meu servidor: Registrou e bloqueou todas as solicitações para os servidores DNS usando IPtables, adicionou "0.0.0.0 boot.servequake.com" aos hosts e atualmente gera 1375 entradas / 5min. Não foi possível encontrar qualquer evidência de exploração no servidor.

Este servidor CentOS está executando vários aplicativos e possui um IP público. No início, o motivo poderia ser um mau funcionamento do aplicativo ou algum ataque intencional de DoS usando meu servidor como "zumbi". Eu simplesmente procurei por "boot.servequake.com" (para entender por que esta resolução de endereço está sendo solicitada) e obtive poucos e inúteis resultados em nosso mecanismo de busca favorito. Também testou ping e traceroute para boot.servequake.com e resolve para 0.0.0.0 sem saltos. Isso acontece em todos os servidores CentOS, CentOS VM's, estações de trabalho Ubuntu, mas não no servidor afetado.

Perguntas:

  1. É "boot.servequake.com" algum tipo de alias de 0.0.0.0 incluído nesta distros Linux?
  2. Em caso afirmativo, por que não consigo encontrar informações sobre isso on-line?
  3. Onde posso encontrar essa configuração? (não está no arquivo hosts)
  4. Por que um .servequake.com (propriedade do no-ip.com) está sendo usado em todos as máquinas Linux testadas?

Obrigado antecipadamente

EDIT: corrigido "localhost" para "0.0.0.0"

    
por Raul Cardoso 20.11.2013 / 11:27

1 resposta

2

Oh meu. Realmente tendo um dia ruim? ;)

1: OBVIAMENTE não. A sério. Eles soam idênticos?

2: eu posso. www.servequake.com redireciona para link - um serviço gratuito de DNS para pessoas por trás de IP's dinâmicos. Eu diria que um de seus clientes tem o nome "boot" registrado. E provavelmente isso não é algo que eles se incomodam em usar publicamente (talvez apenas algum servidor de tremor entre amigos) para que você não o tenha mencionado em toda a Internet.

3: Não é a sua configuração, então você não pode encontrá-la. Você não tem acesso apenas aos bancos de dados de configuração interna no-ip.

4: Porque é de onde o ataque vem ou vai para.

Eu não estou totalmente certo, mas parece que você está usando um revezamento para um ataque de amplificação de DNS - segmentando boot.servequake.com ou seu provedor de DNS (ou você), mas por saber mais que você precisa nos dizer o que os fluxos realmente são. Normalmente não os pedidos, mas as respostas são hugh. O número de quests também indica um problema de caching em algum lugar, mas isso pode ser causado por no-ip (no pupose para atualizar rapidamente quando o ip dinâmico muda).

    
por 20.11.2013 / 11:41

Tags

O disco físico Dell PowerEdge 1950 possui erro de status estrangeiro Quais variáveis de ambiente principais devem ser definidas para um serviço do Windows?