Bind9 ziemlich viele ungültige Anfragen "query (cache) './ANY/IN' denied"

[GwenDragon]

Seit zwei Tagen rauschen 500 Anfragen/sec bei einem Bekannten rein, der einen Bind als Master betreibt.
Passiert ja nix, aber der Bekannte denkt, es sei ein Angriff. Soll er dann eben die Anzahl der Anfragen per client mit rate-limit begrenzen.

Kann auch sein, dass eine Horde von Cloud-Servern derzeit auf ungepatchte Bidn9 abklopft.

 

[GwenDragon]

Ich habe nun mal nachgehsen bei hm, ich seh da bislang kein Problem, wenn da 5 Anfragen von einem Client kommen und es dann der nächste versucht. htop zeigt 0,4% Last.
Manche Serverbesitzer sind wohl verunsichert wegen sowas.
Sicher kann man das mit fail2ban begrenzen und blockieren, aber ist doch nicht notwendig.

 

[GwenDragon]

Sieht aus als würde auf CVE-2021-25214 getestet.

 

[danton]

Ich habe zwar keine öffentlichen Bind laufen, habe aber letzte Tage zwei IPs auf der Google-Cloud, die meine kompletten Dienste wie wild abgescannt hat - beim Webserver enthiehlt der User-Agent den String "cyberscan.io". Wäre also denkbar, dass die auch Nameserver abgescannt haben. Und Censys war bei mir letztens auch wieder recht aktiv beim Abscannen meiner IPs.

 

[GwenDragon]

@danton Welche Blackhats scannen denn bitte mit einem User-Agent eines Sicherheitstools? Sind Skriptkiddies schon so dusslich?

 

[danton]

Ich würde mal behaupten, das man das teilweise durchaus mit ja beantworten kann. Mit waren die IPs in meinen Logs aufgefallen und bei näherer Untersuchung habe ich dann gesehen, dass diese IPs auf zwei Domains den Webserver abgescannt haben. Da habe ich mir gedacht, dass die beiden IPs erst mal eine Auszeit auf meinem Server haben wollen.

 

[GwenDragon]

Interessant, dass diese DNS-Anfragen beim Bekannten über den Tag in Wellen kommen, am frühen Morgen auf fast Null sinken und dann wieder ansteigen.
Bei drei anderen VServern (OVH, Strato, 1&1) ist es ruhig bezüglich solcher DNS-Attacken.
Egal. Passiert ja nix. DoS funktioniert ja nicht.
Ist halt übliches Grundrauschen, wenn irgendwelche Leute Pen Testing machen und unsichere Server suchen.

Mein Bekannter ist aber auch ängstlich, nur weil in einer Stunde mal kurzfristig 3000 Clients mit Connections innerhalb 10 Minuten anlanden.
Ich hab ihm gesagt, sein DNS-Server kann das ab.
Würde mich nicht wundern, wenn Kunden von euch Dienstleistern aus Unwissenheit bei solchen DNS-Attacken Panik schieben.

Für mich ist das sowieso erledigt, weil es mich nicht betrifft.

 

[d4f]

ei drei anderen VServern (OVH, Strato, 1&1

Zu Strato und 1&1 kann ich nicht sagen, aber OVH ist (was Massenhoster angeht) sehr gut im DDoS-filtern. Mich würde nicht wundern wenn DNS-Queries konstant aggressiv gefiltert werden.

Interessant, dass diese DNS-Anfragen beim Bekannten über den Tag in Wellen kommen

Klingt nach DNS Amplification, also dass versucht wird über denServer DDoS aus zu führen. Damit wäre der Server ungewollter Teilnehmer und nicht das Ziel der Attacke. Dass der Server wohl dies brav filtert resultiert darin dass die Antwort vergleichsweise klein ausfällt und in Punkto Amplifikation wertlos ist, aber das hat der Angriff wohl (noch) nicht mitgekriegt oder es interessiert ihn schlicht nicht. Für dich wäre es natürlich besser wenn zumindest repetitive Deny an die gleiche IP gefiltert werden um aus dem Angriffstraffic zu verschwinden.

 

[GwenDragon]

Für dich wäre es natürlich besser wenn zumindest repetitive Deny an die gleiche IP gefiltert werden um aus dem Angriffstraffic zu verschwinden.

Bei meinem Bekannten hat die Welle wieder abgeebbt, nachdem er bei seinem Hoster fachliche Unterstützung gesucht hat.

Bei meinem privaten server ist nach 3 Denies Schluss mit Lustig und die IP bekommt einen Block.

 

[Lord Gurke]

Kann es sein, dass der DNS-Server mit Root-Hints antwortet?
Einfach zu testen mit

dig @ip.des.servers -t ANY .

Wenn du dort als Antwort die Root-Nameserver bekommst, solltest du dem DNS-Server diese Root-Hints abgewöhnen. Das, was ihr da seht, ist dann ein DNS-Amplification-DDoS gegen die IP-Adressen, von denen die Anfragen kommen.

 

[GwenDragon]

Nein, mein DNS is brav und antwortet nicht mit der Liste der Root-NS.

 

[GwenDragon]

Mein Honeypot bei OVHs Cloudserver zeigt heute massiv solche DNS-Anfragen von schnellwechselnden IPs. Dann werde ich den mal wieder löschen.

Auf einem Produktivsystem lässt sich sowas bequem mit ratelimit beim Bind oder fail2ban+bpf o.ä. schnell auf 1% Anfragen runter bremsen.

So genug des Ganzen. Passt ja alles.

 

[Joe User]

Wozu braucht man einen eigenen öffentlichen Nameserver?
Hab in 23 Jahren Serverbetrieb noch nie Einen gebraucht...

 

[GwenDragon]

Wozu braucht man einen eigenen öffentlichen Nameserver?

Wenn man den NS des Domainanbieters bei vielen Domains gut per API füttern kann, reicht der externe.

Manche Leute (mit Admin-GUIs) wollen unbedingt alles auf dem eigenen Server machen und benutzen den NS des Domain-Anbieters als Sekundären. Jeder so wie es gewollt ist solange die DNS sicher konfiguriert sind und nicht für angriffe missbraucht werden können.

 

[d4f]

Wozu braucht man einen eigenen öffentlichen Nameserver?

Je nach Umgebung schlicht einfacher. Teilweise unterstützen die Anbieter die gewünschten DNS-Optionen gar nicht, benötigen eigene APIs zur Zonenregistrierung, limitieren die Zonen, haben einen eingeschränkten Umfang oder sind so gut erreichbar wie die DNS-Server der TeleKO.
Schlicht gesagt - der gleiche Grund warum man oft eigene Server überhaupt betreibt; Flexibilität.

 

[Joe User]

Teilweise unterstützen die Anbieter die gewünschten DNS-Optionen gar nicht, benötigen eigene APIs zur Zonenregistrierung, limitieren die Zonen, haben einen eingeschränkten Umfang

Das lässt sich ja Alles problemlos im Voraus abklären und es bleiben egal in welcher Eigenschafts-Kkombination immer genug seriöse Anbieter übrig. Zumal es in Punkto Funktionsumfang und Einschränkungen heutzutage kaum noch grosse Unterschiede gibt.

Bezuüglich der Telekom-Nameserver kann ich zumindest für meinen Verantwrtungsbereich keine ungwöhnlichen Erreichbarkeitsprobleme in den letzten 20 Jahren verzeichnen, weder von ausserhalb noch von innerhalb der Telekom-Netze.
Solche Probleme bringe ich da eher mit Namen wie Dyn, Namecheap, Cloudflare oder OpenDNS in Verbindung...

Je nach Umgebung schlicht einfacher.

Und ob nun eine lokale API-Anbindung leichter umzusetzen ist als eine externe API-Anbindung, möchte ich auch gerne bezweifeln, zumal man lokal gleich beide Seiten der API umsetzen muss.


BTW: Wenn man denn schon einen eigenen Nameserver betreiben will, dann doch gleich etwas leichtes und modernes wie NSD.