DNS Cache poisoning?

[Stunherald]

Zdravim,
mam doma RB493G jako branu pro LAN. Vse co je na siti dostava statickou IP od mikrotiku. Taktez DNS preklad si resi mikrotik a tudiz vsechno za nim ma jako primarni DNS nastavenou IP mikrotiku. Preklady fungujou v pohode az na jeden specifickej problem.

Pri loginu na battle.net (StarcraftII) mi firewall od ESETu zacna rvat, ze detekoval DNS Cache Poisoning a zablokuje dalsi komunikaci. Puvodne sem to chtel hodit na hlavu tech. supportu Blizzardu, ale pak me napadlo zmenit DNSka z IP mikrotiku primo na DNS od providera --> vse funguje OK, FW mlci jak hrob. Cili to davam za "vinu" mikrotiku.

Nevi nekdo co s tim? Je to bug v ESS nebo v Mikrotiku? Zajimave je, ze to dela jen v tomto konkretnim pripade u teto konkretni aplikace a pouze kdyz mam DNS nastavene na Mikrotik

Log z FW:

Kód: Vybrat vše

13.7.2011 16:44:46   DNS cache poisoning attack detected   192.168.2.1:53   192.168.2.7:59595   UDP
13.7.2011 16:44:47   Packet blocked by active protection   192.168.2.1:53   192.168.2.7:59595   UDP         
13.7.2011 16:44:48   Packet blocked by active protection   192.168.2.1:53   192.168.2.7:59595   UDP         
13.7.2011 16:44:50   Packet blocked by active protection   192.168.2.1:53   192.168.2.7:59595   UDP
13.7.2011 16:44:54   Packet blocked by active protection   192.168.2.1:53   192.168.2.7:59595   UDP

Sniff se zaplym FW a DNSkem Mikrotiku:

Kód: Vybrat vše

No.     Time        Source                Destination           Protocol Info
     24 10.567496   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.nydus.battle.net
     25 11.566382   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.nydus.battle.net
     26 12.566413   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.nydus.battle.net
     27 14.566439   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.nydus.battle.net
     28 17.521857   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.logon.battle.net
     29 18.521434   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.logon.battle.net
     30 18.566420   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.nydus.battle.net
     31 19.521452   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.logon.battle.net
     32 21.521455   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.logon.battle.net
     33 25.521409   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.logon.battle.net

Sniff s vyplym FW a DNSkem Mikrotiku:

Kód: Vybrat vše

No.     Time        Source                Destination           Protocol Info
     24 10.795249   192.168.2.7           192.168.2.1           DNS      Standard query A enGB.nydus.battle.net
     25 10.799464   192.168.2.1           192.168.2.7           DNS      Standard query response CNAME eu.battle.net A 80.239.186.40
     26 10.799957   192.168.2.7           80.239.186.40         TCP      57830 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
     27 10.837805   80.239.186.40         192.168.2.7           TCP      http > 57830 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460
     28 10.837915   192.168.2.7           80.239.186.40         TCP      57830 > http [ACK] Seq=1 Ack=1 Win=64240 Len=0
     29 10.838267   192.168.2.7           80.239.186.40         HTTP     GET /S2/enGB/alert HTTP/1.1
     30 10.874737   80.239.186.40         192.168.2.7           TCP      http > 57830 [ACK] Seq=1 Ack=109 Win=5840 Len=0
     31 10.878549   80.239.186.40         192.168.2.7           HTTP     HTTP/1.1 301 Moved Permanently  (text/html)
     32 10.882293   192.168.2.7           192.168.2.1           DNS      Standard query A eu.launcher.battle.net
     33 10.993386   192.168.2.1           192.168.2.7           DNS      Standard query response A 80.239.186.21
     34 10.993918   192.168.2.7           80.239.186.21         TCP      57831 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
     35 11.030993   80.239.186.21         192.168.2.7           TCP      http > 57831 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460
     36 11.031090   192.168.2.7           80.239.186.21         TCP      57831 > http [ACK] Seq=1 Ack=1 Win=64240 Len=0

Odpoved na nslookup od DNS providera se zaplym FW

Kód: Vybrat vše

>nslookup -type=A enGB.nydus.battle.net 83.240.0.214
Server:  brn-ns1.netbox.cz
Address:  83.240.0.214

Non-authoritative answer:
Name:    eu.battle.net
Address:  80.239.186.40
Aliases:  enGB.nydus.battle.net

Odpoved na nslookup od DNS Mikrotiku se vyplym FW

Kód: Vybrat vše

>nslookup -type=A enGB.nydus.battle.net 192.168.2.1
Server:  UnKnown
Address:  192.168.2.1

Non-authoritative answer:
Name:    eu.battle.net
Address:  80.239.186.40
Aliases:  engb.nydus.battle.net

Odpoved na nslookup od DNS Mikrotiku se zaplym FW -----> Opet vyhodnoceno jako cache poisoning ...

Kód: Vybrat vše

>nslookup -type=A enGB.nydus.battle.net 192.168.2.1
Server:  UnKnown
Address:  192.168.2.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

Napada nekoho neco, v cem by mohl byt problem?

Predem diky

[midnight_man]

ake pravidla mas vo FW mikrotiku?

[Stunherald]

Zatim jen par zakladnich...

Kód: Vybrat vše

add action=drop chain=input comment="DROP invalid connections" connection-state=invalid disabled=no
add action=drop chain=forward connection-state=invalid disabled=no
add action=reject chain=forward comment="REJECT IANA private networks based on IANA_blacklist" disabled=no dst-address-list=IANA_blacklist out-interface=5_WAN reject-with=icmp-net-prohibited
add action=accept chain=input comment="ACCEPT established connections" connection-state=established disabled=no in-interface=5_WAN
add action=accept chain=forward connection-state=established disabled=no in-interface=5_WAN
add action=accept chain=input comment="ACCEPT related connections" connection-state=related disabled=no in-interface=5_WAN
add action=accept chain=forward connection-state=related disabled=no in-interface=5_WAN
add action=accept chain=input comment="ACCEPT limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="DROP excess pings" disabled=no protocol=icmp
add action=accept chain=output comment="ACCEPT outgoing connections" disabled=no out-interface=5_WAN
add action=accept chain=input comment="ACCEPT Winbox user login" disabled=no dst-port=8291 protocol=tcp