Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Spoofade DNS requests mot min personliga dns server

1
Skriv svar
Permalänk
Medlem

Spoofade DNS requests mot min personliga dns server

Hej!

Jo jag har en personlig dns server för att kunna koppla domännamn mot ip mm men den sista månaden har jag råkat ut för strul med
spoofade dns requests får det till dns ddos?

00:27:54   Request from 72.115.30.228 for A-record for qrapqjizulgnazqf.90uc.hfwfb.com.
00:27:54   Sending reply to 72.115.30.228 about A-record for qrapqjizulgnazqf.90uc.hfwfb.com.:
00:27:54   -> Header: Refused - will not answer this client or this query type.
00:27:57   Request from 9.246.6.121 for A-record for opmzmhstexevubuf.www.oo40.com.
00:27:57   Sending reply to 9.246.6.121 about A-record for opmzmhstexevubuf.www.oo40.com.:
00:27:57   -> Header: Refused - will not answer this client or this query type.
00:27:57   Request from 117.121.137.58 for A-record for urotmhopcfgx.www.sf123.org.
00:27:57   Sending reply to 117.121.137.58 about A-record for urotmhopcfgx.www.sf123.org.:
00:27:57   -> Header: Refused - will not answer this client or this query type.
00:27:58   Request from 66.202.53.48 for A-record for mbgzchyvgjkled.liebiao1.81ypf.com.
00:27:58   Sending reply to 66.202.53.48 about A-record for mbgzchyvgjkled.liebiao1.81ypf.com.:
00:27:58   -> Header: Refused - will not answer this client or this query type.
00:27:59   Request from 98.199.94.168 for A-record for erqz.liebiao.139hg.com.
00:27:59   Sending reply to 98.199.94.168 about A-record for erqz.liebiao.139hg.com.:
00:27:59   -> Header: Refused - will not answer this client or this query type.
00:27:59   Request from 50.173.244.168 for A-record for sfshktohgf.liebiao.139hg.com.
00:27:59   Sending reply to 50.173.244.168 about A-record for sfshktohgf.liebiao.139hg.com.:
00:27:59   -> Header: Refused - will not answer this client or this query type.
00:28:00   Request from 88.238.39.28 for A-record for mbgtwfepylydwf.90uc.hfwfb.com.
00:28:00   Sending reply to 88.238.39.28 about A-record for mbgtwfepylydwf.90uc.hfwfb.com.:
00:28:00   -> Header: Refused - will not answer this client or this query type.
00:28:01   Request from 100.111.170.92 for A-record for mtkvkz.www.sf123.org.
00:28:01   Sending reply to 100.111.170.92 about A-record for mtkvkz.www.sf123.org.:
00:28:01   -> Header: Refused - will not answer this client or this query type.
00:28:01   Request from 69.216.111.124 for A-record for qrsfqx.www.sf123.org.
00:28:01   Sending reply to 69.216.111.124 about A-record for qrsfqx.www.sf123.org.:
00:28:01   -> Header: Refused - will not answer this client or this query type.
00:28:05   Request from 86.50.153.109 for A-record for wr.www.sf123.org.
00:28:05   Sending reply to 86.50.153.109 about A-record for wr.www.sf123.org.:
00:28:05   -> Header: Refused - will not answer this client or this query type.

Har läst lite om det här:

http://www.dslreports.com/forum/r29027823-DNS-queries-from-ra...

Kontaktade Bredband2 kundtjänst men fick typ kalla handen, att detta var mitt problem?!

Isf om vet någon ett bra firewall program som fungerar under windows 2003 så man kan blocka med wildcards tex *.sf123.org osv?

Tror min dns råkade stå i open recursive förut men är inte det nu, kör med simpledns tacksam för tips

Visa signatur

Chassi: Adtronics 7890A (modifierat) || Moderkort: Asus m5a99x-evo || Cpu: Amd PhenomII 1100T || Ram: 32GB ddr3 1600mhz || Gfx: Hd5850 || Hdd: Vertex3 120gb Lagring: 1x3TB 3x2TB 2x1TB mm || Nätagg: Corsair AX850

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hagis2k:

Hej!

Jo jag har en personlig dns server för att kunna koppla domännamn mot ip mm men den sista månaden har jag råkat ut för strul med
spoofade dns requests får det till dns ddos?

00:27:54   Request from 72.115.30.228 for A-record for qrapqjizulgnazqf.90uc.hfwfb.com.
00:27:54   Sending reply to 72.115.30.228 about A-record for qrapqjizulgnazqf.90uc.hfwfb.com.:
00:27:54   -> Header: Refused - will not answer this client or this query type.
00:27:57   Request from 9.246.6.121 for A-record for opmzmhstexevubuf.www.oo40.com.
00:27:57   Sending reply to 9.246.6.121 about A-record for opmzmhstexevubuf.www.oo40.com.:
00:27:57   -> Header: Refused - will not answer this client or this query type.
00:27:57   Request from 117.121.137.58 for A-record for urotmhopcfgx.www.sf123.org.
00:27:57   Sending reply to 117.121.137.58 about A-record for urotmhopcfgx.www.sf123.org.:
00:27:57   -> Header: Refused - will not answer this client or this query type.
00:27:58   Request from 66.202.53.48 for A-record for mbgzchyvgjkled.liebiao1.81ypf.com.
00:27:58   Sending reply to 66.202.53.48 about A-record for mbgzchyvgjkled.liebiao1.81ypf.com.:
00:27:58   -> Header: Refused - will not answer this client or this query type.
00:27:59   Request from 98.199.94.168 for A-record for erqz.liebiao.139hg.com.
00:27:59   Sending reply to 98.199.94.168 about A-record for erqz.liebiao.139hg.com.:
00:27:59   -> Header: Refused - will not answer this client or this query type.
00:27:59   Request from 50.173.244.168 for A-record for sfshktohgf.liebiao.139hg.com.
00:27:59   Sending reply to 50.173.244.168 about A-record for sfshktohgf.liebiao.139hg.com.:
00:27:59   -> Header: Refused - will not answer this client or this query type.
00:28:00   Request from 88.238.39.28 for A-record for mbgtwfepylydwf.90uc.hfwfb.com.
00:28:00   Sending reply to 88.238.39.28 about A-record for mbgtwfepylydwf.90uc.hfwfb.com.:
00:28:00   -> Header: Refused - will not answer this client or this query type.
00:28:01   Request from 100.111.170.92 for A-record for mtkvkz.www.sf123.org.
00:28:01   Sending reply to 100.111.170.92 about A-record for mtkvkz.www.sf123.org.:
00:28:01   -> Header: Refused - will not answer this client or this query type.
00:28:01   Request from 69.216.111.124 for A-record for qrsfqx.www.sf123.org.
00:28:01   Sending reply to 69.216.111.124 about A-record for qrsfqx.www.sf123.org.:
00:28:01   -> Header: Refused - will not answer this client or this query type.
00:28:05   Request from 86.50.153.109 for A-record for wr.www.sf123.org.
00:28:05   Sending reply to 86.50.153.109 about A-record for wr.www.sf123.org.:
00:28:05   -> Header: Refused - will not answer this client or this query type.

Har läst lite om det här:

http://www.dslreports.com/forum/r29027823-DNS-queries-from-ra...

Kontaktade Bredband2 kundtjänst men fick typ kalla handen, att detta var mitt problem?!

Isf om vet någon ett bra firewall program som fungerar under windows 2003 så man kan blocka med wildcards tex *.sf123.org osv?

Tror min dns råkade stå i open recursive förut men är inte det nu, kör med simpledns tacksam för tips

Gå till inlägget

Om du fixat problemet med att du tillåtit rekursiva anrop från alla så lär det väl gå över med tiden... Förutsatt att det faktiskt var orsaken.

Dock ser det ju inte ut att vara någon större mängd trafik om det där utdraget ur loggen är representativt.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem

Det är bara en liten del jag tog med ovan log filerna i txt format är på mellan 25-30mb styck hade över 1 miljon förfrågningar innan jag startade om dnsen sist...

Visa signatur

Chassi: Adtronics 7890A (modifierat) || Moderkort: Asus m5a99x-evo || Cpu: Amd PhenomII 1100T || Ram: 32GB ddr3 1600mhz || Gfx: Hd5850 || Hdd: Vertex3 120gb Lagring: 1x3TB 3x2TB 2x1TB mm || Nätagg: Corsair AX850

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hagis2k:

Hej!

Jo jag har en personlig dns server för att kunna koppla domännamn mot ip mm men den sista månaden har jag råkat ut för strul med
spoofade dns requests får det till dns ddos?

00:27:54   Request from 72.115.30.228 for A-record for qrapqjizulgnazqf.90uc.hfwfb.com.
00:27:54   Sending reply to 72.115.30.228 about A-record for qrapqjizulgnazqf.90uc.hfwfb.com.:
00:27:54   -> Header: Refused - will not answer this client or this query type.
00:27:57   Request from 9.246.6.121 for A-record for opmzmhstexevubuf.www.oo40.com.
00:27:57   Sending reply to 9.246.6.121 about A-record for opmzmhstexevubuf.www.oo40.com.:
00:27:57   -> Header: Refused - will not answer this client or this query type.
00:27:57   Request from 117.121.137.58 for A-record for urotmhopcfgx.www.sf123.org.
00:27:57   Sending reply to 117.121.137.58 about A-record for urotmhopcfgx.www.sf123.org.:
00:27:57   -> Header: Refused - will not answer this client or this query type.
00:27:58   Request from 66.202.53.48 for A-record for mbgzchyvgjkled.liebiao1.81ypf.com.
00:27:58   Sending reply to 66.202.53.48 about A-record for mbgzchyvgjkled.liebiao1.81ypf.com.:
00:27:58   -> Header: Refused - will not answer this client or this query type.
00:27:59   Request from 98.199.94.168 for A-record for erqz.liebiao.139hg.com.
00:27:59   Sending reply to 98.199.94.168 about A-record for erqz.liebiao.139hg.com.:
00:27:59   -> Header: Refused - will not answer this client or this query type.
00:27:59   Request from 50.173.244.168 for A-record for sfshktohgf.liebiao.139hg.com.
00:27:59   Sending reply to 50.173.244.168 about A-record for sfshktohgf.liebiao.139hg.com.:
00:27:59   -> Header: Refused - will not answer this client or this query type.
00:28:00   Request from 88.238.39.28 for A-record for mbgtwfepylydwf.90uc.hfwfb.com.
00:28:00   Sending reply to 88.238.39.28 about A-record for mbgtwfepylydwf.90uc.hfwfb.com.:
00:28:00   -> Header: Refused - will not answer this client or this query type.
00:28:01   Request from 100.111.170.92 for A-record for mtkvkz.www.sf123.org.
00:28:01   Sending reply to 100.111.170.92 about A-record for mtkvkz.www.sf123.org.:
00:28:01   -> Header: Refused - will not answer this client or this query type.
00:28:01   Request from 69.216.111.124 for A-record for qrsfqx.www.sf123.org.
00:28:01   Sending reply to 69.216.111.124 about A-record for qrsfqx.www.sf123.org.:
00:28:01   -> Header: Refused - will not answer this client or this query type.
00:28:05   Request from 86.50.153.109 for A-record for wr.www.sf123.org.
00:28:05   Sending reply to 86.50.153.109 about A-record for wr.www.sf123.org.:
00:28:05   -> Header: Refused - will not answer this client or this query type.

Har läst lite om det här:

http://www.dslreports.com/forum/r29027823-DNS-queries-from-ra...

Dold text

Kontaktade Bredband2 kundtjänst men fick typ kalla handen, att detta var mitt problem?!

Isf om vet någon ett bra firewall program som fungerar under windows 2003 så man kan blocka med wildcards tex *.sf123.org osv?

Tror min dns råkade stå i open recursive förut men är inte det nu, kör med simpledns tacksam för tips

Gå till inlägget

http://www.simpledns.com/newsitem.aspx?id=2368

Det är väl klart det är ditt problem för om du kör en publik dns skall du veta hur du konfar och underhålla denna.
För du använder den väl för att serva domäner utåt för annars behöver den ju inte vara tillgänglig utanför ditt nät.

Redigera
Citera flera Citera
Permalänk
Medlem

Precis som andra har påpekat så har du en öppen DNS relay. Detta kan man nyttja för att DDOS mot andra.

Du kan läsa nedan hur denna typ av missar stället till det för andra
http://www.cloudflare.com/ddos

Visa signatur

| Citera för svar! | Gilla bra inlägg! |

Redigera
Citera flera Citera
Permalänk
Medlem

Din ISP kan/ska bara ge support på saker du betalar dem pengar för. Lämplig åtgärd från din ISP i detta fall vore att:

1. Stänga din anslutning.
2. Be dig återkomma när du fixat/stängt ner din DNS.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hagis2k:

Hej!
Har läst lite om det här:

Kontaktade Bredband2 kundtjänst men fick typ kalla handen, att detta var mitt problem?!

Isf om vet någon ett bra firewall program som fungerar under windows 2003 så man kan blocka med wildcards tex *.sf123.org osv?

Tror min dns råkade stå i open recursive förut men är inte det nu, kör med simpledns tacksam för tips

Gå till inlägget

Varför hävdar du att det inte skulle vara ditt, och bara ditt, problem?

Visa signatur

CCIE SP-kandidat / CCNP R&S / CCNA R&S

Twitter: @Gustawsson

Redigera
Citera flera Citera
Permalänk
Medlem

Lite info om vad det är:

Det där är DNS-flux. Ett sätt att dölja sig vid attacker.
http://en.wikipedia.org/wiki/Fast_flux

Vi råkade se att vår DNS lastades lite hårt, det visade sig bero på att ett 100-tal av våra bredbandskunder hade lite buggig programvara på sina routrar och användes i en förstärkt DDOS-attack. (Och vi tror att det var i syfte att sänka en LoL-turnering).
Buggen var i NTP (fint förklarat hur man gör här: http://blog.cloudflare.com/understanding-and-mitigating-ntp-b...)
Netgear, D-Link och gamla routerboard var drabbade.

Lösningen var att svartlista dom i DNS:en / blackhole och temporärt lyfta DNS-anrop till en större maskin.

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hagis2k:

Det är bara en liten del jag tog med ovan log filerna i txt format är på mellan 25-30mb styck hade över 1 miljon förfrågningar innan jag startade om dnsen sist...

Gå till inlägget

Hoppas de stänger ner din lina på en gång.
Varför i hela världen har du en öppen resolver?

Det är typer som du som gör att Internet kommer bli mer och mer begränsat.
Det är bara en tidsfråga innan alla ISP:er tvingas börja blocka port 53 mot deras kunder.

Snälla, kan du inte stänga av din DNS? Du sabbar för alla andra.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av madtop:

Hoppas de stänger ner din lina på en gång.
Varför i hela världen har du en öppen resolver?

Det är typer som du som gör att Internet kommer bli mer och mer begränsat.
Det är bara en tidsfråga innan alla ISP:er tvingas börja blocka port 53 mot deras kunder.

Snälla, kan du inte stänga av din DNS? Du sabbar för alla andra.

Gå till inlägget

Men snälla, lugna ner dig. Du kan inte förvänta dig att folk sätter upp felfria system. Folk är nyfikna, testar sig fram. Folk gör fel och lär sig av sina misstag. Hjälp folk istället för att trycka ner dem. Med den där attityden kommer du ingenstans, och du blir allt mindre uppskattad över internet. Den typiska freenode-attityden.. så tråkigt.

Jag förstår problematiken du pekar på, och ja, det är ett stort bekymmer. Men problemet är främst inte hemservrar utan DNS-servrar placerade högre upp i näten med tillgång till högre bandbredd.

Vad är det försöker göra? Hantera en intern zon som bara nyttjas lokalt? Eller agerar du auktoritär namnserver för en "skarp" zon? Vad använder du för programvara? BIND har som default att bara tillåta recursion på lokala subnätet och localhost ett tag tillbaka, så antar att det är någon microsoft-lösning?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Googlade fram ett enkelt test som kan kontrollera om din server är öppen eller skyddade mot rekursiva uppslag
http://dns.measurement-factory.com/cgi-bin/openresolvercheck....

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jagardaniel:

Jag förstår problematiken du pekar på, och ja, det är ett stort bekymmer. Men problemet är främst inte hemservrar utan DNS-servrar placerade högre upp i näten med tillgång till högre bandbredd.

Gå till inlägget

Oftast utnyttjas just "hemservrar" eftersom de är så dåligt uppsäkrade.
100 hemservrar där varje server sitter på 10Mbps ger en attack på 1G, 1000 ger 10G.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara