DNS Attacke - Lösungensvorschläge?

[Deleted member 11691]

Hallo,

wir haben ein kleines Problem... Unsere DNS-Server werden derzeit von Kiddies geflutet. Auf den Teilen läuft PowerDNS drauf und diese sind auch für die Auflösung nach außen hin zuständig. Allerdings läuft das ganze so ab:

Innerhalb unseres IP-Netzes löst dieser DNS-Server eigene Domains auf und macht auch Recursion.
Außerhalb unseres IP-Netzes ist dieser DNS-Server nur für eigene Domains zuständig und schickt auf eine Recursion ein Servfail mit Recursion was desired.

Nun, die Attacke läuft darauf hinaus, dass die PowerDNS Server unerreichbar werden und nach einiger Zeit crashen.

Nach einer Analyse haben wir herausgefunden, dass die Pakete von verschiedensten IP-Adressen kommen, alle eine A?-Anfrage machen und jede einzelne Anfrage eine willkürliche Domain ("h5g2.de", "h2vg2.cn", "2g760gb2.com", "g2h906.ru", "gbv5621trzh.ch", "hvg3352t.lt", "j3vhb95g7v6tg.sh", ".net", "r3ijoh4tu7.tw", ...) beinhaltet.

Gibt's dafür eine Strategie, diese Attacke zu blockieren oder kann man nur hoffen, dass diese Kiddies bald kein Taschengeld mehr haben?

 

[mr_brain]

In welchem State (FIN_WAIT, usw.) sind die Verbindungen?

 

[dotme]

In welchem State (FIN_WAIT, usw.) sind die Verbindungen?

Bei UDP-Paketen?

 

[mr_brain]

DNS sieht für gewisse Sachen auch TCP vor. Und da kann´s eben auch dran hängen.

 

[Deleted member 11691]

Es sind UDP-Pakete. Bei TCP könnten wir ja einfach die Source-Adressen blockieren

 

[infinitnet]

Wenn's nicht zu viele verschiedene IPs sind, könnte man "-m limit" mit iptables verwenden. Ansonsten mal mit tcpdump nachsehen, ob irgendeine Gemeinsamkeit bei den Abfragen auffällt, für die man eine ACL erstellen könnte.

PS: Wenn du einen Dump der Abfragen bereitstellen könntest, würde das helfen.

 

[d4f]

Wenn der Betrieb kritisch ist könntest du in einem ersten Stadium mal UDP incoming Port 53 firewall-mässig droppen. TCP ist zwar kein Bestandteil des DNS-Protokolles, aber so ziemlich jeder Resolver unterstützt die Erweiterung DNS/TCP.
Vorteilhaft ist dass eine TCP-Anfrage für den Besucher einen höheren Aufwand darstellt, throttlebar ist und kaum spoofbar.

Clients welche massiv ungültige Hosts verwenden sollen dann über zB fail2ban blockiert werden.

Ich blockiere auf meinen System UDP-Requests mit mehr als X falschen Anfragen je Zeitintervall was generell als Angriffsschutz für DoS welches mich als Ziel sowie auch welche mich als Relay verwenden wollen ausreicht.
Wie aber u.a. Joe User schon mehrmals im Forum beschrieben hat ist es aber so theoretisch möglich die "Ban-Liste" des Hosts zu überfüllen. In dem Fall hilft nur TCP-only.

oder kann man nur hoffen, dass diese Kiddies bald kein Taschengeld mehr haben?

Bei der heutigen Simplizität eigene Botnetze zu züchten respektiv durch Heimanschlüsse mit hoher Bandbreite und viel Taschengeld Angriffe quasi unendlich weiterfahren zu lassen - viel Glück.

 

[Lord Gurke]

PowerDNS aus den Debian-Repositories?
Vergiss die (der Maintainer ist eine Pflaume, das ist schon das zweite Mal dass die Pakete kaputt sind) und zieh dir direkt die offiziellen Dinger von powerdns.com

 

[Deleted member 11691]

Was ist denn daran so anders als die vom Repo, das diesen Dos verhindern sollte?

 

[Lord Gurke]

AW: DNS Attacke - Lösungensvorschläge?

Die Versionen aus dem Hersteller-Paket ist einfach stabiler und crasht nicht einfach.
Bei uns haben die Server auch schon durchaus Angriffe mit 30k Anfragen pro Sekunde ausgesessen - ohne Unerreichbar zu werden