Author Topic: Защита от DNS Amplification  (Read 10857 times)

0 Members and 1 Guest are viewing this topic.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Защита от DNS Amplification
« on: January 20, 2017, 00:53:26 »
Коллеги, помогайте командами!

Железяка с OpenWRT. В какой-то момент стал загружаться проц. Повалились запросы на 53 порт. Закрыл, отменил рекурсию. нагрузку снял.

tcpdump-ом смотрю запросы валятся такие:

20:23:58.005542 IP 37.73.155.142.25312 > мой_внешний_ip.domain: 3585+ [1au] ANY? cpsc.gov. (37)

20:23:58.010301 IP 87.245.208.160.https > 10.147.122.226.55915: Flags [.], seq 1843922:1845320, ack 1115, win 122, options [nop,nop,TS val 166730597 ecr 962792926], length 1398

Что с этим делать? Как закрыть? Как бороться?

По поводу первого - DDOS атака, называемая DNS Amplification (DNS усиление).

Напишите правила, помогайте.

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1261
  • Karma: +9/-1
Re: Защита от DNS Amplification
« Reply #1 on: January 20, 2017, 08:36:19 »
У вас открытый 53-й порт наружу? Серьёзно?

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Защита от DNS Amplification
« Reply #2 on: January 20, 2017, 11:34:24 »
У вас открытый 53-й порт наружу? Серьёзно?

Quote
Закрыл, отменил рекурсию. нагрузку снял.

Offline ITslavery

  • Newbie
  • *
  • Posts: 9
  • Karma: +0/-0
Re: Защита от DNS Amplification
« Reply #3 on: January 20, 2017, 15:39:10 »
Коллеги, помогайте командами!

Железяка с OpenWRT. В какой-то момент стал загружаться проц. Повалились запросы на 53 порт. Закрыл, отменил рекурсию. нагрузку снял.

tcpdump-ом смотрю запросы валятся такие:

20:23:58.005542 IP 37.73.155.142.25312 > мой_внешний_ip.domain: 3585+ [1au] ANY? cpsc.gov. (37)

20:23:58.010301 IP 87.245.208.160.https > 10.147.122.226.55915: Flags [.], seq 1843922:1845320, ack 1115, win 122, options [nop,nop,TS val 166730597 ecr 962792926], length 1398

Что с этим делать? Как закрыть? Как бороться?

По поводу первого - DDOS атака, называемая DNS Amplification (DNS усиление).

Напишите правила, помогайте.
Ну валица тебе udp трафик, и что? Все равно отказаться от него ты не можешь.
Главное, что твой dns сервер переставал отвечать на эти запросы и больше не участвует в атаке. Стало быть злоумышленнику нет смысла тратить на твой сервер ресурсы. (выхлопа нет)
Через некоторое время в базе доступных для dns усиления адресов, твой сервер будет отмечен как нерабочий и dns запросы закончатся.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Защита от DNS Amplification
« Reply #4 on: January 20, 2017, 18:51:34 »
Ну валица тебе udp трафик, и что? Все равно отказаться от него ты не можешь.
Главное, что твой dns сервер переставал отвечать на эти запросы и больше не участвует в атаке. Стало быть злоумышленнику нет смысла тратить на твой сервер ресурсы. (выхлопа нет)
Через некоторое время в базе доступных для dns усиления адресов, твой сервер будет отмечен как нерабочий и dns запросы закончатся.
Это и так понятно.
С провайдером разговаривал, в топ 50 меня нет, это уже хорошо. Это потому что dns сервер потушил совсем и закрыл все снаружи, хотя там и так закрыто все было.
Сижу пакеты которые задампил разбираю. Запросы не стандартные. Не понимаю как их можно вообще сформировать так и самое главное чем. Сдается мне это специальная система какая-то, программный комбайн с системой анализа. Причем прилетают пачками, потом пауза, потом еще пачка, пауза и т.д.
Пробовал перед железкой поставить машинку с двумя интерфейсами и на ней при работающем dns сервере фаерволом запретить внешние запросы на 53 порт. Половить пакеты и посмотреть что происходит. Отрабатывает сразу и в полном объеме.
Исходя из этого сделал вывод.
При одинаковых настройках запрещающих входящие и проходящие запросы dns железка пропускает их если даже порт закрыт, а машинка отрабатывает на 100%.
Значит в железке есть, как это не прискорбно говорить, уязвимость, которая себя никак раньше не проявляла и проблем не было.
Посмотрел прошивки официальные, ничего подобного в описаниях по исправлению не нашел.
Похоже придется покормить урну железкой. Хлам дырявый нам не нужен.

Offline boombastic

  • Hero Member
  • *****
  • Posts: 582
  • Karma: +9/-0
Re: Защита от DNS Amplification
« Reply #5 on: January 23, 2017, 19:37:20 »
1. Настрой корректно iptables на INPUT для WAN-порта. Не могут пакеты проходить чз netfilter если ты их запрещаешь. Иначе "Аллочка, это пи..ец!"
2. Проверяй. Смотри счётчики на правила iptables чтобы понять куда трафик убегает.
3. Если не поможет - перевешивай свой мини-dns-сервер с порта 53/udp  на порт 63/udp. (ну или любой другой)
4. В iptables/nat/prerouting делай правило для br-lan - всё что идёт от локалки на udp/53 - редиректить на udp/63
4.1. Альтернативно п.3+п.4 - весь трафик идущий с wan-порта на udp/53 - делай action=mirror и посмотри на результаты. :-D
5. Смотри результаты.
« Last Edit: January 23, 2017, 19:39:59 by boombastic »

Offline zhenya

  • Administrator
  • Full Member
  • *****
  • Posts: 215
  • Karma: +14/-5
Re: Защита от DNS Amplification
« Reply #6 on: January 23, 2017, 20:07:24 »
Если уже через тебя долбили, то ещё долго не забудут..

Offline SinClaus

  • Sr. Member
  • ****
  • Posts: 453
  • Karma: +6/-2
Re: Защита от DNS Amplification
« Reply #7 on: January 24, 2017, 15:41:15 »
Когда поставил c1841 на вход сети, обнаружил, что udp там гуляет до хрена...
Самый страшный вирус называется юзер.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Защита от DNS Amplification
« Reply #8 on: January 24, 2017, 18:50:15 »
1. Настрой корректно iptables на INPUT для WAN-порта. Не могут пакеты проходить чз netfilter если ты их запрещаешь. Иначе "Аллочка, это пи..ец!"
2. Проверяй. Смотри счётчики на правила iptables чтобы понять куда трафик убегает.
3. Если не поможет - перевешивай свой мини-dns-сервер с порта 53/udp  на порт 63/udp. (ну или любой другой)
4. В iptables/nat/prerouting делай правило для br-lan - всё что идёт от локалки на udp/53 - редиректить на udp/63
4.1. Альтернативно п.3+п.4 - весь трафик идущий с wan-порта на udp/53 - делай action=mirror и посмотри на результаты. :-D
5. Смотри результаты.
ADSL роутер DLINK старый как яйца мамонта. Я его если честно с ноги в мусорку отправил. Сказал, что акта списания от меня на него не ждите.
Сегодня, после прочтения, пошел достал, положил на полку.

За место него поставил другую железку, та отрабатывает все что надо. Но запросы валятся по прежнему. Но она отрабатывает, не пропускает и не пускает ничего лишнего.
Разговаривал тут с одним админом одного провайдера, они вообще 53 порт у себя во всей сети прибили и все на центральных маршрутизаторах. И тишина.
Сколько раз встречался с этой проблемой public dns, во всех случаях так или иначе закрывать получалось. А тут...
Как ты сказал "Аллочка, это пи..ец!". И еще какой. Не приятно когда железка тебя не слушается.
В длинке сказали - снято с производства и обслуживания и нас оно уже не волнует, ничем помочь не можем.
В который раз убеждаюсь аутсорсинг организаций - зло. Облачные технологии - зло. Старую школу не отменишь. Свое оно и есть свое. Предсказуемости большее. Будет время чип перепояю, прошью заводской, поиграюсь если желание будет.

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1261
  • Karma: +9/-1
Re: Защита от DNS Amplification
« Reply #9 on: January 25, 2017, 07:19:28 »
Есть сомнение, что заводская прошивка сильно поможет.

Offline boombastic

  • Hero Member
  • *****
  • Posts: 582
  • Karma: +9/-0
Re: Защита от DNS Amplification
« Reply #10 on: January 25, 2017, 17:43:28 »
> ADSL роутер DLINK старый как яйца мамонта.
И чо?:)
> В длинке сказали - снято с производства и обслуживания и нас оно уже не волнует, ничем помочь не можем
и чо? :)
Тебе дать бородатые статьи о Линуксе и как он превращает компьютерный хлам в "принт-сервер/файл-сервер/любой другой говно-сервер" ?
Копай в сторону OpenWRT, DD-WRT или им подобных. На крайний случай, сборка своего образа OpenWRT с минимальном необходимым  функционалом под свою железку.  Даже старый ADSL-роутер при должно желании можно превратить в какое-нибудь полезное "железо".

Правда...затраченные человекочасы это конечно отдельная история.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Защита от DNS Amplification
« Reply #11 on: January 26, 2017, 04:11:11 »
Есть сомнение, что заводская прошивка сильно поможет.
Наверняка не поможет. Поэтому и сняли с обслуживания что в чипе проблема.

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Re: Защита от DNS Amplification
« Reply #12 on: January 26, 2017, 04:21:15 »
> ADSL роутер DLINK старый как яйца мамонта.
И чо?:)
> В длинке сказали - снято с производства и обслуживания и нас оно уже не волнует, ничем помочь не можем
и чо? :)
Тебе дать бородатые статьи о Линуксе и как он превращает компьютерный хлам в "принт-сервер/файл-сервер/любой другой говно-сервер" ?
Копай в сторону OpenWRT, DD-WRT или им подобных. На крайний случай, сборка своего образа OpenWRT с минимальном необходимым  функционалом под свою железку.  Даже старый ADSL-роутер при должно желании можно превратить в какое-нибудь полезное "железо".

Правда...затраченные человекочасы это конечно отдельная история.
Тут в чипе проблема есть. Судя по всему из-за этого и сняли с производства. Превратить его можно во что угодно, но он все равно будет дырявый и не устойчивый к внешним воздействиям. Не удобно размещать, потому что нет корпуса. Кем-то умным бережно высверлено отверстие в плате и повешано на гвоздик на стенку для работы.
У меня нет возможности тратить время и рисковать стабильностью и надежностью защищенности сети. Поэтому эту железку если удастся как-то восстановить и на ее основе решить вопрос защиты, то ее можно будет поставить только в сортире, извиняюсь, новостные ленты читать. Или в раритет в качестве музейного экспоната.

Offline zhenya

  • Administrator
  • Full Member
  • *****
  • Posts: 215
  • Karma: +14/-5
Re: Защита от DNS Amplification
« Reply #13 on: January 26, 2017, 08:13:11 »
В сохо сегменте все делается на цпу. По крайней мере на железе одного поколения с вашим.