Missbrauch für DDOS verhindern?

[tomasini]

Eventl. magst du einfach den (DNS-)Provider wechseln? Mein Tipp: http://www.inwx.com/

 

[Joe User]

Weil mein Provider mit seinem Nameserver zu unflexibel ist.

Mir sind die Flugpläne der meisten Airlines auch zu unflexibel, trotzdem setze ich mich nicht einfach ins Cockpit der nächstbesten 737 und fliege selbst. Nein, ich suche mir halt eine Airline die meinen Wünschen entspricht.

Denk mal drüber nach.


BTW: Dank Deinem IPTables-Gefrickel kann man ganz einfach Deinen Server unerreichbar machen, aber das weisst Du ja sicherlich.

 

[virtual2]

Wer öffentliche Nameserver betreiben will, der muss ganz genau wissen, was er tut! DNS ist kein Spielzeug!

OT: Ich spiele gerne mit bind und Powerdns rum ;-)

 

[s24!]

Dank Deinem IPTables-Gefrickel kann man ganz einfach Deinen Server unerreichbar machen, aber das weisst Du ja sicherlich.

 

[Joe User]

Man miete sich ein kleines Botnet und lässt von dort aus gespooft Anklopfen.
Kostenpunkt: $20 bis $100

Dank der dummen "Firewall-Tools" ala fail2ban oder entsprechender manueller Konfiguration ist plötzlich World ausgesperrt...


Aber pssst, ist ein bisher völlig unbekannter Angriff den weder White-Hats noch Black-Hats kennen.

 

[d4f]

Man miete sich ein kleines Botnet und lässt von dort aus gespooft Anklopfen.

Man mietet sich ein etwas grösseres Botnetz auf kurze Dauer und jagt 1-2 Gbit/s an Traffic freitags kurz vor 5 auf den Server.
Zumindest bei Hetzner ist die Machine dann bis Montags gegen 9 Uhr nullrouted. Viel zuverlässiger.
Bei einigen vServer-Anbietern erhält das Ziel eines solchen Angriffs sogar eine fristlose Kündigung, noch besser.

Warum also kompliziert wenn es auch einfach geht?

Ein einfacher Fix gegen Spoofing-Angriffe ist übrigens TCP-only von DNS. Nach RFC ist das (fast) korrekt, kann aber bei schlecht entwickelten Resolver und iterativen Clients Probleme verursachen. Generell funktioniert es aber tadellos.

 

[Joe User]

Warum also kompliziert wenn es auch einfach geht?

Weil es mit jeder fail2ban/denyhosts/etc-Installation funktioniert, egal bei wem der Host steht.
Zudem schiesst man so ganz billig Mitbewerber aus dem Netz, sofern diese wie üblich an fähigen Admins sparen.
Und wenn ich mir hier so manche Beiträge von kleineren Hostern ansehe, dann sind diese ebenfalls anfällig und posaunen es auch noch grossspurig in die weite Welt hinaus.

Ich bekomme jedenfalls schon allein auf Grund dieser billigen Angriffsmöglichkeit bei jeder Empfehlung für fail2ban und Co einen Lachkrampf. Und ich bin nur der dumme Joe User, echten Profis fallen da noch mehr Angriffsmöglichkeiten ein.

Achja, da dieser Angriff rein technisch gar keiner ist, sondern lediglich die gewünschte Nutzung der Tools darstellt, ist das in DE stenggenommen so gar legal. Es braucht also nichtmal ein Botnet...

 

[d4f]

da dieser Angriff rein technisch gar keiner ist, sondern lediglich die gewünschte Nutzung der Tools darstellt

Allein das Spoofing stellt schon Computersabotage dar und ist somit strafbar.
Der Missbrauch von Programmfunktionen zum teilweisen Blockieren von Konkurrenten wird sogar noch teurer.

Weil es mit jeder fail2ban/denyhosts/etc-Installation funktioniert, egal bei wem der Host steht.

Aktuelle fail2ban-Defaults unterscheiden zwischen UDP und TCP in dem Jail für named und nur das entsprechende Protokoll wird blockiert.
Worst-case muss der Resolver also auf TCP zurückfallen was wie beschrieben generell alle können. (TCP filtert man entsprechend nicht)
Da TCP nicht oder nur mit direkter Kontrolle über das Netzwerk (sowie paar recht theoretischen Angriffen) spoofbar ist hat man somit das Beste aus beiden Welten.

Man könnte REFUSED auch einfach in iptables droppen, schön ist das aber genau so wenig und zumindest theoretisch könnte ein Angreifer dann lokale Pakete anfragen. Generell weniger Inhalt im Paket aber oft ausreichend.

 

[Joe User]

fail2ban wird ja fast immer auch für SSH konfiguriert und dort auf wenige Anfragen/Sekunden beschränkt. Zudem werden die IPs generell und nicht per Service geblockt, so dass man als Angreifer dadurch ganz simpel das gewünschte Ergebnis erreicht.


Was an dem Versenden RFC-konformer Netzwerkpakete nun Computersabotage sein soll, würde mich ja mal interessieren. Nehmen wir ein simples "HEAD / HTTP1.1" auf Port 80, was genau ist daran Computersabotage?

 

[s24!]

Man mietet sich ein etwas grösseres Botnetz auf kurze Dauer und jagt 1-2 Gbit/s an Traffic freitags kurz vor 5 auf den Server. Zumindest bei Hetzner ist die Machine dann bis Montags gegen 9 Uhr nullrouted. Viel zuverlässiger.

Nein, "nur" bis Samstag.

 

[d4f]

Nehmen wir ein simples "HEAD / HTTP1.1" auf Port 80, was genau ist daran Computersabotage?

Ein TCP-Paket ist nicht ohne weiteres spoofable. Im konkreten Fall hier, DNS over UDP, ist Spoofing ein tatsächliches Risiko welches durch Ratelimiting respektiv Bestrafung von Falschanfragen durch einen "Absender" bestraft werden soll um Spoofing effektiv zu verhindern OHNE den Regelbetrieb zu gefährden.

Was an dem Versenden RFC-konformer Netzwerkpakete nun Computersabotage sein soll

Was an dem Verwenden eines gefälschten Ausweises (Forging der Pakete) welcher auf jemanden anders ausgestellt ist (Spoofing) Dokumentenfälschung (Computersabotage) sein soll weiss ich auch nicht. Zumal der einzige Zweck in diesem Fall ist mit dem Ausweis viele Briefe (Pakete) zu ergattern welche den Briefkasten (Netzwerk) des eigentlichen Besitzers überlaufen lassen und somit die korrekte Zustellung legitimer Inhalte verhindern. Mal ausprobieren

 

[Joe User]

Ein TCP-Paket ist nicht ohne weiteres spoofable.

Google sagt mir etwas Anderes. Wer hat nun recht?

Was an dem Verwenden eines gefälschten Ausweises (Forging der Pakete) welcher auf jemanden anders ausgestellt ist (Spoofing) Dokumentenfälschung (Computersabotage) sein soll weiss ich auch nicht. Zumal der einzige Zweck in diesem Fall ist mit dem Ausweis viele Briefe (Pakete) zu ergattern welche den Briefkasten (Netzwerk) des eigentlichen Besitzers überlaufen lassen und somit die korrekte Zustellung legitimer Inhalte verhindern. Mal ausprobieren

Anschaulich erklärt, sollte man pinnen.

 

[d4f]

Google sagt mir etwas Anderes. Wer hat nun recht?

Die beschriebenen Techniken zur Vorhersage der Sequence Nummer sind nicht "ohne Weiteres" realisierbar und andere Techniken zum Abhören nicht ohne Weiteres realisierbar.

Es geht hier ja darum dass ein Angreifer mit IP-Spoofing falsche Absender-Daten verwenden kann um DNS-Server als Relay zu verwenden.
Falls der Aufwand zum Aufbau dieser Relay-Verbindung um Grössenordnungen höher liegt als der Versand stellt dies ein Problem für den Angreifer dar.

 

[Joe User]

Ich bin im Gegensatz zu Dir schon seit mehreren Posts bei fail2ban und Co im Allgemeinen und nicht mehr bei DNS-Reply-Attacken.

Ja, ich bin vom Ursprungstopic abgeschweift, man möge mich dafür virtuell prügeln...


TCP-Spoofing ist vielleicht nicht ganz einfach, aber kein Hexenwerk und längst bei Scriptkiddies angekommen. Wobei Letzteres vermuten lässt, dass es doch recht einfach ist.


Egal, ich werde weiterhin über fail2ban-Nutzer schmunzeln und mich fragen, wie ich seit 1998 völlig ohne diese Tools beziehungsweise IPTables meine Server im Netz halten konnte. Irgendetwas habe ich falsch gemacht und mache es immernoch falsch...


EOD?

 

[michael-08]

AW: Missbrauch für DDOS verhindern?

Google sagt mir etwas Anderes. Wer hat nun recht?

Google gibt nur das wieder, was von anderen verbreitet wird. Somit ist google nicht immer blind zu trauen.

In diesem speziellen Fall allerdings scheint Google richtige Werte wiederzugeben

Sent from my Lumia 800 using Board Express

 

[d4f]

Ich bin im Gegensatz zu Dir schon seit mehreren Posts bei fail2ban und Co im Allgemeinen und nicht mehr bei DNS-Reply-Attacken.

Beide sind ja in diesem Fall miteinander verbunden. Wenn man DNS-basiertes Angriff-Proxying respektiv sogar Angriff-Verstärkung über UDP mittels fail2ban grösstenteils verhindert ist das Risiko zu diesem spezifischen Angriff weg.

Es wäre wie du beschrieben hast möglich IP's mittels fail2ban unberechtigt zu sperren, allerdings stellt es doch einen hohen Aufwand dar (wenn auch nicht unbedingt für den Benutzer, dann für den Rechner) und kann somit nie auch nur ein nennenswertes Subnet gleichzeitig blockieren.