DNS, Gespoofete Link-Local-Adressen

Lord Gurke

Lord Gurke

Nur echt mit 32 Zähnen
Hallo,

wir bemerken auf unseren Routern, dass da seit 2-3 Tagen mit etwa 20-30 Paketen pro Minute DNS-Anfragen kommen, deren Source-IP aus dem Netz 127.0/8 kommt (Link-Local) und daher korrekterweise gefiltert wird.
Schaltet man den Filter mal aus bemerkt man, dass das alles DNS-Anfragen zu irgendwelchen kryptischen Domains sind, die ich zumindest nicht auflösen konnte:

Code: 
15:33:53.461523  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 89: 127.227.117.165.29038 > 188.xxx.yyy.zzz.53: 42357+ A? ejcrglqxsnqz.456.0769ff.com. (45)
15:33:58.351419  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 84: 127.220.19.172.3943 > 188.xxx.yyy.zzz.53: 44051+ A? ikfarhb.456.0769ff.com. (40)
15:34:05.445747  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 82: 127.186.18.244.3691 > 188.xxx.yyy.zzz.53: 62482+ A? kfmzil.19u.mm5ii.com. (38)
15:34:11.467863  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 92: 127.79.54.216.12665 > 188.xxx.yyy.zzz.53: 55350+ A? apcbkdqxypctcvcb.www.amdxy.com. (48)
15:34:12.252132  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 92: 127.178.204.240.51287 > 46.xxx.yyy.zzz.53: 61644+ A? slcrmbiryvelshsp.www.amdxy.com. (48)
15:34:12.720191  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 86: 127.216.3.38.65239 > 46.xxx.yyy.zzz.53: 9731+ A? ozirofgh.www.185jxcq.com. (42)
15:34:13.723617  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 90: 127.191.171.136.42761 > 188.xxx.yyy.zzz.53: 34987+ A? yhmluvqnsbmpmb.www.cn948.com. (46)
15:34:21.230487  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 89: 127.114.112.17.27384 > 188.xxx.yyy.zzz.53: 4464+ A? yuxqdruhepv.www.185jxcq.com. (45)
15:34:23.403781  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 93: 127.142.64.15.15150 > 188.xxx.yyy.zzz.53: 3904+ A? ybcpwjktejqrmxsl.456.0769ff.com. (49)
15:34:33.263420  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 88: 127.24.223.244.55847 > 46.xxx.yyy.zzz.53: 62687+ A? gterkzefgv.www.185jxcq.com. (44)
15:34:34.265233  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 80: 127.94.27.69.5636 > 46.41.xxx.yyy.zzz.53: 17691+ A? urql.19u.mm5ii.com. (36)
15:34:38.000046  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 88: 127.8.227.114.56709 > 188.xxx.yyy.zzz.53: 29411+ A? mbilslcten.www.185jxcq.com. (44)
15:34:45.247109  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 84: 127.20.94.233.22804 > 188.xxx.yyy.zzz.53: 59742+ A? fqaadgs.456.0769ff.com. (40)
15:34:47.871292  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 90: 127.73.132.158.32563 > 188.xxx.yyy.zzz.53: 40580+ A? gbypufgjmhmpav.www.cn948.com. (46)
15:34:50.969107  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 88: 127.143.30.243.6676 > 46.xxx.yyy.zzz.53: 62238+ A? czcpkdgbixqh.19u.mm5ii.com. (44)
15:34:59.803142  In 88:20:00:21:00:02 ethertype IPv4 (0x0800), length 90: 127.215.92.155.22604 > 188.xxx.yyy.zzz.53: 39772+ A? uxkvwbazmxkl.www.185jxcq.com. (46)
Anhand der MAC-Adresse kann ich auch eindeutig sehen, dass die Anfragen durch den Router kamen.
Meine Theorie ist, dass da jemand direkt am authoritativen DNS-Server sitzt und herausfinden will, wo alles offene DNS-Resolver sitzen und ob sie direkt auflösen oder z.B. alles an die Google-DNS weiterleiten - in der Hoffnung, dass zumindest auf den meisten Systemen kein RPF aktiviert ist und der DNS-Server für 127.0/8 antwortet resp. die Firewall nicht blockiert ;)

Oder gibt es eine Lücke in irgendwelchen DNS-Servern die ich noch nicht kenne? :P
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top