DNS Bordel

[hapi]

to už si snad každej domyslí ne?

[whef]

Jasný, ale myslel jsem to tak, že nestačí ani toto pravidlo a mám ho dané jak pro TCP tak pro UDP, ještě je tam potřeba dodělat nějaké ošetření asi kvůli natu co tam je, to zatím nevím jak. Ano jsem trochu na mikrotik lama

[bSir]

Jasný, ale myslel jsem to tak, že nestačí ani toto pravidlo a mám ho dané jak pro TCP tak pro UDP, ještě je tam potřeba dodělat nějaké ošetření asi kvůli natu co tam je, to zatím nevím jak. Ano jsem trochu na mikrotik lama

bych rekl ze staci na wanu do inputu dat dve pravidla, jedno na UDP a druhe na TCP...

jinak kamarad Google Chrome dela pri spusteni totok:

Kód: Vybrat vše

1392833601.100   2152 127.0.0.1 TCP_MISS/200 4229 CONNECT accounts.google.com:443 - DIRECT/173.194.70.84 -
1392833607.943    298 127.0.0.1 TCP_MISS/504 302 HEAD http://gthalqstmd/ - DIRECT/gthalqstmd text/html
1392833608.032    385 127.0.0.1 TCP_MISS/504 302 HEAD http://nryoztzxti/ - DIRECT/nryoztzxti text/html
1392833608.272    623 127.0.0.1 TCP_MISS/504 302 HEAD http://iurxbztoyd/ - DIRECT/iurxbztoyd text/html
1392833612.753      0 127.0.0.1 TCP_DENIED/403 1467 CONNECT talk.google.com:5222 - NONE/- text/html


[tom-tom]

A problémy s dns u klientů jinak nemáte nikdo? Nám se teď za poslední dny ozvalo pár klientů, kterým se hůř zobrazují stránky, případně bez stylů a obrázků. Na druhý pokus pak už v pohodě.
Jeden z nich dokonce uvedl konkrétní chybovou hlášku DNS lookup failed. Používáme vlastní nameservery ze kterých si jeden hlavní velký mikrotik kešuje a klienti se dotazují jeho.
Vím že se tady minulý týden nesla nějaká zpráva o tom, že se něco podobného děje mezi routery na GTSce, takže se ptám, jestli se to už nedostalo i k ostatním ISP
A toho bordelu v cache mikrotiku jsem si nikdy předtím nevšiml, nebo nebyl tak výrazný a za poslední dny tam je až 700-800 takových záznamů, mezi nimi vede koncovka .belkin, .asus a doména 56bj56.com
Jinak, nameservery máme za překladem a zvenčí se na ně nedostane ani bajt, takže je to jednoznačně záležitost intranetu.

[hapi]

hmm, to nenačítání nebo pomalí načítání nebo částečný načítání se nám stávalo když jsme měly defaultní konfiguraci dnska na mkčku. Skuz přes terminál snížit TTL DNSka třeba na 10 minut, nám to pomohlo. Teď se lidi dotazují přímo unboundu na solo alixu a to je asi nej řešení.

[tom-tom]

TTL mám 5min, loni se řešily taky podobné problémy s DNS, takže od té doby to tam tak je.

[ppp76]

Podle infa co se mi doneslo tak asus routery jsou napadeny necim co odesila nesmyslne dotazy na dns pomuze jen reset do defaultu ale i to je jen docasen , zaplata od asusu zatim neni , co se tyce belkinu tak ty maj snad stejnej problem , nekde proletel i nejakej clanek na tohle tema ... reseni vyhodit asusy a belkiny nahradit tplinkama ty napadnuty nejsou

[tom-tom]

Samozřejmě že taky dáváme jen tplinky, ale ne každý klient si nechá od nás připojit router, to bohužel neovlivníme.

[Dalibor Toman]

A problémy s dns u klientů jinak nemáte nikdo? Nám se teď za poslední dny ozvalo pár klientů, kterým se hůř zobrazují stránky, případně bez stylů a obrázků. Na druhý pokus pak už v pohodě.
Jeden z nich dokonce uvedl konkrétní chybovou hlášku DNS lookup failed. Používáme vlastní nameservery ze kterých si jeden hlavní velký mikrotik kešuje a klienti se dotazují jeho.
Vím že se tady minulý týden nesla nějaká zpráva o tom, že se něco podobného děje mezi routery na GTSce, takže se ptám, jestli se to už nedostalo i k ostatním ISP
A toho bordelu v cache mikrotiku jsem si nikdy předtím nevšiml, nebo nebyl tak výrazný a za poslední dny tam je až 700-800 takových záznamů, mezi nimi vede koncovka .belkin, .asus a doména 56bj56.com
Jinak, nameservery máme za překladem a zvenčí se na ně nedostane ani bajt, takže je to jednoznačně záležitost intranetu.

pokud pouzivas vlastni DNS servery tak si over jestli je nepretezuji nejake requesty. Resil jsem ted v podstate to same co popisujes. Asi 300 open DNS serveru mezi zakazniky , ktere prijimaly requesty a preposilaly je nasim DNS serverum (vsichni zakaznici maji verejna IPcka). Zablokovani portu 53 k temhle vytecnikum problem vyresilo.

Staci na DNS spustit tcpdump a podivat se zda se nevtyskytuji ve vetsi mire dotazy na neco podobneho jako je tohle: gnitwrmbszibex.www.269sf.com. - nejaka existujici domena a pred ni prilepeny vice ci mene randomizovany shluk znaku. IMHO se nekdo bavi tim, ze pretezuje ISPkum DNS servery nebo utoci na nejake konkretni DNS servery/domeny.

Na jakem zarizeni presne jsou ty open DNS servery netusim. Ale zatim to vypada, ze postizeni jsou ti zakaznici co si koupili router nekde jinde nez u nas.

[tom-tom]

Jo, to by odpovídalo, ve vlnách, nárazově velké množství dotazů na konkrétní doménu s jakoby náhodně vygenerovaným názvem.
Tcpdump jsem právě dělal jako první, když se začali ozývat lidi, ten mě taky přivedl na cache mikrotiku, kterého se klienti dotazují.
Každopádně to vypadá, že s tím má větší problém mikrotik než samotné nameservery. Ani nejde tak o zatížení, spíš si cache nedokáže poradit s takovým množstvím nestandardních dotazů.
Protože u klienta, který si první stěžoval na problém s načítáním webu, jsem nastavil dns přímo na náš server a problémy zmizely.

[whef]

A problémy s dns u klientů jinak nemáte nikdo? Nám se teď za poslední dny ozvalo pár klientů, kterým se hůř zobrazují stránky, případně bez stylů a obrázků. Na druhý pokus pak už v pohodě.
Jeden z nich dokonce uvedl konkrétní chybovou hlášku DNS lookup failed. Používáme vlastní nameservery ze kterých si jeden hlavní velký mikrotik kešuje a klienti se dotazují jeho.
Vím že se tady minulý týden nesla nějaká zpráva o tom, že se něco podobného děje mezi routery na GTSce, takže se ptám, jestli se to už nedostalo i k ostatním ISP
A toho bordelu v cache mikrotiku jsem si nikdy předtím nevšiml, nebo nebyl tak výrazný a za poslední dny tam je až 700-800 takových záznamů, mezi nimi vede koncovka .belkin, .asus a doména 56bj56.com
Jinak, nameservery máme za překladem a zvenčí se na ně nedostane ani bajt, takže je to jednoznačně záležitost intranetu.

Taky máme stále stejné problémy, přístupy na routery z venku blokovány, vyzkoušeno všechno možné nastavení co ostaním pomohlo, u nás se stále nedaří dohledat zdroj

[Dalibor Toman]

Taky máme stále stejné problémy, přístupy na routery z venku blokovány, vyzkoušeno všechno možné nastavení co ostaním pomohlo, u nás se stále nedaří dohledat zdroj

co to znamena pristup na router z venku blokovany. Ze je uriznuty management z internetu? To nestaci. Pokud je ten router spatne nastaven (nebo se tak chova uz z vyroby) a je na nem open DNS (tedy na portu 53 prijima odkohokloliv DNS requesty) pak je bude preposilat zrejme na IP cka DNS serveru v routeru nastavene. No a jakmile utocnik tenhle router nejakym scannerem najde zacne jen posilat DNS dotazy a prislusne DNS servery se zacinaji potit.

BTW nasel jsem jednoho klienta od ktereho obcas vali podobne DNS dotazy ale nevede k nemu zadna nitka od loutkare (nechodi na nej zadne DNS requesty, takze nema co preposilat). Jestli je to nejaky virus na PC, ktery po zapnuti PC zacne jen generovat DNS dotazy, tak se s tim nic krome zaseknuti DNS dotazu od klienta (tedy v podstate zablkovani Internetu) nic delat. Pokud by se tohle rozsirilo, pak by to uz sranda nebyla.

[whef]

Taky máme stále stejné problémy, přístupy na routery z venku blokovány, vyzkoušeno všechno možné nastavení co ostaním pomohlo, u nás se stále nedaří dohledat zdroj

co to znamena pristup na router z venku blokovany. Ze je uriznuty management z internetu? To nestaci. Pokud je ten router spatne nastaven (nebo se tak chova uz z vyroby) a je na nem open DNS (tedy na portu 53 prijima odkohokloliv DNS requesty) pak je bude preposilat zrejme na IP cka DNS serveru v routeru nastavene. No a jakmile utocnik tenhle router nejakym scannerem najde zacne jen posilat DNS dotazy a prislusne DNS servery se zacinaji potit.

BTW nasel jsem jednoho klienta od ktereho obcas vali podobne DNS dotazy ale nevede k nemu zadna nitka od loutkare (nechodi na nej zadne DNS requesty, takze nema co preposilat). Jestli je to nejaky virus na PC, ktery po zapnuti PC zacne jen generovat DNS dotazy, tak se s tim nic krome zaseknuti DNS dotazu od klienta (tedy v podstate zablkovani Internetu) nic delat. Pokud by se tohle rozsirilo, pak by to uz sranda nebyla.

Port 53 jsme samozřejmě všude z venku zakázali. Postupně budeme vypínat části sítě, už jsme se o to pokoušeli, zatím se nám to přesně stejně nepodařilo lokalizovat, abychom neudělali dlouhé výpadky.

[Dalibor Toman]

Taky máme stále stejné problémy, přístupy na routery z venku blokovány, vyzkoušeno všechno možné nastavení co ostaním pomohlo, u nás se stále nedaří dohledat zdroj

nedochazi proc to nejde podle SRC IP dotazu? Chytit par packetu snifferem lehce zanalyzovat? Nebo vypsat nejakou statistiku z DNS serveru (rndc recurse apod) a zanalyzovat...

[tom-tom]

Takže nějaké původce těch randomizovaných adres jsem vystopoval, jednalo se o pár "kostlivců" na mikrotiku, kde někdo zapomněl zatrhnout dns requesty z wan a ve spojení s veřejnou ip jeli skutečně jako open dns.
Teď už mi v cache zůstávají ty .asus a .belkin a pár dalších. Musím teď najít oběť, na které vyzkouším, jestli už je to ok

BTW nasel jsem jednoho klienta od ktereho obcas vali podobne DNS dotazy ale nevede k nemu zadna nitka od loutkare (nechodi na nej zadne DNS requesty, takze nema co preposilat). Jestli je to nejaky virus na PC, ktery po zapnuti PC zacne jen generovat DNS dotazy, tak se s tim nic krome zaseknuti DNS dotazu od klienta (tedy v podstate zablkovani Internetu) nic delat. Pokud by se tohle rozsirilo, pak by to uz sranda nebyla.

Tak ono stačí aby ten pc byl připojený k botnetu přes vpn, dostane úkoly na celý den a prakticky není potřeba udržovat dál spojení s loutkářem

EDIT:
tohle vypadá velmi dobře
arcw5z1.gm73ljplkqphswshw5v8vjkd2cv.uhb613mtd3v19wkiu2.3mzwlt2lerb77trs2t3rqde725.kwn7e5ksfeqsmrrk1srt9u95fb.avqs.mcafee.com