Bind9 DDOS

R

RedShakal

New Member
Hallo zusammen, ich hab da ein Problem mit meinem Bind Server. Wenn ich "tail -f /var/log/messages mache finde ich durchweg folgendes vor:

PHP: 
Apr  7 00:45:23 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:23 s16191893 named[3208]: client 72.20.23.19#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 72.20.23.24#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 72.20.23.19#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 72.20.23.24#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 72.20.23.19#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:24 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 72.20.23.24#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 72.20.23.19#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 72.20.23.24#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 72.20.23.19#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:25 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 72.20.23.24#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 72.20.23.19#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 72.20.23.24#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 72.20.23.19#53: query (cache) 'ripe.net/ANY/IN' denied
Apr  7 00:45:26 s16191893 named[3208]: client 92.106.237.75#25345: query (cache) 'isc.org/ANY/IN' denied

Habe mich bereits im Internet erkundigt und bin auf den Dienst "Fail2Ban" gestoßen. Leider bekomme ich diesen nicht richtig zum laufen.

In der Config steht u.a. folgendes:

PHP: 
[named-refused-udp]

enabled  = true
filter   = named-refused
action   = iptables-multiport[name=Named, port="domain,953,53", protocol=udp]
           sendmail-whois[name=Named, dest=you@mail.com]
logpath  = /var/log/named/security.log
ignoreip = 127.0.0.1

# This jail blocks TCP traffic for DNS requests.

[named-refused-tcp]

enabled  = true
filter   = named-refused
action   = iptables-multiport[name=Named, port="domain,953,53", protocol=tcp]
           sendmail-whois[name=Named, dest=you@mail.com]
logpath  = /var/log/named/security.log
ignoreip = 127.0.0.1

Aber der Angriff nimmt leider nicht so richtig ab.
Wie kann man dieses Problem am effektivsten Lösen?
 
Past der Filter zum deinen Logzeilen? Den hast du ja nicht in einem Posting genannt. Desweiteren: Stehen die Zeilen bei dir auch in /var/log/named/security.log drin? Denn oben hast du von /var/log/messages gesprochen.
 
1. Poste bitte mal dein Filter named-refused aus /etc/fail2ban/filter.d
2. Probiere mal mit
fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/named-refused.conf
ob der Filter greift
 
Hallo, ich habe vorrübergehend einfach den DNS Port gesperrt, da ich den Dienst aktuell ohnehin nicht brauche. Der Faiö2Ban Dienst scheint nicht so richtig zu funktionieren, er taucht jedenfalls in keiner Zeile der Log Files auf obwohl er das laut Hersteller müsste.
 
1. Warum hast du überhaupt Dienste, und damit potentielle Einfallstore, laufen, welche du nicht benötigst?
2. fail2ban funktioniert erfahrungsgemäß wunderbar und macht exakt das, wofür er konfiguriert wurde.
 
RedShakal said:
Der Faiö2Ban Dienst scheint nicht so richtig zu funktionieren, er taucht jedenfalls in keiner Zeile der Log Files auf obwohl er das laut Hersteller müsste.
Click to expand...
Nachdem dein Filter ja bestimmt für uns unwichtig ist und du auch nicht gesagt hast, was fail2ban-regex ausgab, können wir uns weitere Hilfe ja sparen.
 
You must log in or register to reply here.
Back
Top