Öffentlicher DNS-Server

[wanne]

Hi ich habe mal irgend wan gehört, dass es unhöflich ist, einen öffentlichen DNS-Server zu Betreiben. Wegen sowas https://de.wikipedia.org/wiki/DNS_Amplification_Attack und ähnlichem. Gibt's da irgendwelche Gegenmasnahmen und für wie wahrscheinlich haltet ihr es, dass er für sowas genutzt wird?
Zur zeit nutze ich unbound. Und würde den gerne öffentlcih betreiben, dass ich von überall aus drauf zugreifen kann.

[Cae]

Du könntest dir iptables-Regeln stricken, die die Verbindungen von oder zu einer IP begrenzen. Auf der anderen Seite macht so ein Setup den eigenen Server für DoS anfällig, weil man eben das Limit definiert. Das Limit darf auch nicht zu niedrig sein,ein paar dutzend Anfragen pro Sekunde können schon hineinkommen, wenn viele Clients über denselben Proxy zugreifen (aber du willst ihn alleine verwenden? = wenig Last). Wie man's macht, es ist verkehrt.

Gruß Cae

[wanne]

Du könntest dir iptables-Regeln stricken, die die Verbindungen von oder zu einer IP begrenzen.

Auf die Idee es einfach über iptables zu machen bin ich aber gar nicht gekommen.

Auf der anderen Seite macht so ein Setup den eigenen Server für DoS anfällig, weil man eben das Limit definiert.

Warum? Damit der Angriff funktioniert müsst ja jemand auf meine IP spoofen. Auch bei IPv4 sehr unwahrscheinlich, wenn er micht nicht kennt. Und wenn er sich in meinem Netz befindet wird er von mir persönlich gekillt.

Das Limit darf auch nicht zu niedrig sein,ein paar dutzend Anfragen pro Sekunde können schon hineinkommen, wenn viele Clients über denselben Proxy zugreifen (aber du willst ihn alleine verwenden? = wenig Last).

Nutzer werden es so in etwa 3 sein. => Das die die gleiche Proxy nehmen ist unwahrscheinlich. Und wenn sind es 3. Aber alleine der Aufruf von reuters.com verursacht 188 Requests. (Natürlich alle in der selben Sekunde.) Und wenn man den angriff schön ausfhrt und wirklich viele DNS-Server sammelt werden es wenig requests auf den einen. Man will damit ja eben auch Firewalls austriksen, die einen Limit pro IP und Sekunde setzten.
Ich habe keine Ahnung, ob ein Limit von 2k requests/s was bringt. (Das währe nur das Zenfache dessen was das aufrufen der einfachen Seite von Reuters verursacht. Ich denke das kann schon mal vorkommen.)

[Cae]

Vielleicht bindest du ihn erstmal auf localhost und SSH-tunnelst ihn zu dir. Mit einer -j LOG-Regel kannst du dann messen, wie viele Requests tatsächlich abgesetzt werden.
Andere Idee: DNS auf Port 5353? Würde daran scheitern, dass man bei bestimmten Eingabemasken definitiv keinen Port mit angeben kann. Rein technisch spricht nichts gegen einen Highport.

Auf der anderen Seite macht so ein Setup den eigenen Server für DoS anfällig, weil man eben das Limit definiert.

Warum? Damit der Angriff funktioniert müsst ja jemand auf meine IP spoofen.

Stimmt, wenn man das an der Quell-IP festnagelt. Würde man das nicht machen, könnte die böse Eve den Server bis zum absichlich niedrig gewählten Limit auslasten und deine Anfragen blocken lassen, weil sie insgesamt über der festgelegten Anfragenanzahl liegen.

Das Risiko, dass man zwar nicht unfreiwillig den kompletten Angriff fährt, aber ein kleiner Fisch zwischen vielen anderen DNS-Servern ist, bleibt natürlich, dagegen kann man vermutlich auch nicht viel machen.

Gruß Cae

[wanne]

Hab's jetzt so:

Code: Alles auswählen

-A OUTPUT -p udp -m udp --sport 53 -m hashlimit --hashlimit-above 25/sec --hashlimit-burst 2000 --hashlimit-mode dstip --hashlimit-name dnsout -j DROP
-A INPUT -p udp -m udp --dport 53 -m hashlimit --hashlimit-above 25/sec --hashlimit-burst 2000 --hashlimit-mode srcip --hashlimit-name dnsin -j REJECT --reject-with icmp-port-unreachable

Das doppelt gemoppelt ist, weil ich auf der einen Seite REJECT haben will auf der anderen seite schneller Blocken will, wenn es jemand schafft Pakete, die über meiner MTU liegen zu erzeugen.
Meint ihr, dass ich pakete mit fragment bit einfach ganz filtern kann?
Angeschlagen hat die Regel noch nie. (Ist aber auch unwahrscheinlich, dass den jemand in den 48h Betribszeit überhaupt schon gefunden hat.)

[wanne]

So, Heute gab's den ersten "Angriff":
404MiB in 6126K Paketen wurden aufgehalten. Klingt für mich jetzt nicht so viel. Waren aber auch mindestens 3 mit mehr als meiner MTU dabei (zusammen 11MiB.)
Leider werde ich nie erfahren, wie erfolgreich das unterfangen war...

[wanne]

OK, ich kapier nicht so ganz was der bezweckt:
derfragt nach ripe.net (Das gibt im prinzip ne ordntlich amplification. (ca. 32))
Aber: Er greift von 2 Maschienen aus an. (Zumindest sieht es für mich so aus (Die Header sehen immer sehr gleich aus (TTL usw.))
Und spooft auf ca. 8 verschiedene Adressen von ISPs und Cloud services.
Glaubt der wirklich er kann mit der Bandbreite von virtuell 2*32/8=8 Rechenern einen Cloud service down machen?
Oder hab ich da was übersehen?

Leider hällt so mein iptables nur etwa 2 von 3 Paketen ab. Weil es wenige Pakete und dann auch noch auf viele Ziele sind.

[Cae]

Naja, DNS-Server sollten nicht zu selten sein auf dieser Welt, da bringt eine große Anzahl an Kisten mit niedriger Bandbreite viel Gesamtbandbreite.

Gruß Cae

[wanne]

Das ding ist, dass es eben 2 Rechner sind, die mit sehr kleiner Bandbreite daher kommen. => Ich nehme an, dass es nur die beiden sind und die auf mehrere DNS-Server gehen.

[wanne]

OK Solangsam wird das nervig. Obwohl der Server seit 5h nicht mehr da ist, laufen die Anfragen weiter.
Der macht mir auch Bandbreite tot...

[mistersixt]

Ich bin gestern auch "Opfer" vom DNS Amplification Attack geworden: von einigen Hosts kamen nachts tonnenweise Anfragen an meinem öffentlichen DNS-Server an mit dem DoS-Angriff auf andere DNS-Server, ich habe jetzt einen ähnlichen iptables-Eintrag wie "wanne" (den hatte ich im Internet gefunden von Jemandem, der mal eine genauere Analyse gemacht hatte), jedoch etwas enger gefasst und die Option "--hashlimit-srcmask" hinzugefügt, so daß Anfragen mit IP-prefix/28 zusammengefasst werden :

Code: Alles auswählen

$IPTABLES -A INPUT -i $EXTIF -p udp --dport 53 -m hashlimit \
   --hashlimit-name DNS --hashlimit-above 20/second --hashlimit-mode srcip \
   --hashlimit-burst 100 --hashlimit-srcmask 28 -j DROP

Mal sehen, was heute nacht passiert. Mein erster Versuch mittels "recent" und einem Maximum von Requests/Zeiteinheit war nicht sinnvoll, weil ich mich damit selbst gedrosselt hatte, "hashlimit" mit "burst" scheint sinnvoller zu sein.

Gruss, mistersixt.

[wanne]

Hi, ich hatte das --hashlimit-srcmask 27 anfangs auch drin. Das ist aber Unsinn. Bei DNS Amplification Attacks sind die src-IPs ja die Adressen der Angegriffenen. (Nichtr des Angriefers der spooft ja.) Es ist aber eher unwahrscheinlich, dass jemand Angriffe auf viele Rechner im gleichen Subnetz angriffe statet. Man sucht sich eine kritische Stelle aus und greift die an. Wenn das Ziel loadbalancing zur hochverfügbarkeit hat sind die im Normalerweise nicht im selben Netz. (Da man ja eben nicht abhänig sein will, von einem Internetzugang.) (Gleiche Subnetze werden großteils gleich geroutet. Wenn der Bagger da dazischen funkt ist alles tot.)
Außerdem habe ich beobachtet, das die Angriffe meist sehr moderat ablaufen. Pro Ziel, (das sind meistens so zirka 5-15 in völlig unterschiedlichen Ländern von völlig unterschiedlichen Organisationen.) gibt es meistens so 15-30 anfragen pro Sekunde.
Deswegen musste ich die --hashlimit-above 25/second auf mittlerweile 4/sec runter gesetzt. Das klingt zwar ziemlich wenig aber mit einem Burst von 800-2000 ist das gut zu machen. (Dauerhaft macht kein Mensch so viele Anfragen. Die meiste Ziet passiert gar nichts. Aber der Angreifer hat den burst in wenigen Sekunden weg.) Damit gehen mir mittlerweile die meisten der DOS-Anfragen ind den Filter (Aber bei weitem nicht alle. Ein Großteil kommt immernoch durch) aber selbst bin ich noch nie in den Filter geraten.

[mistersixt]

Ja, Du hast recht, die Logs von heute nacht zeigen, daß die Anfragen aus ganz unterschiedlichen Netzen gekommen sind, nicht innerhalb eines Netzes.

Offensichtlich ist jetzt noch etwas Fine-Tuning angesagt, prinzipiell hat der Filter bei mir aber schon mal einiges geblockt.

Gruss, mistersixt

[wanne]

Nachdem alle Angreifer ripe.net abfragen, habe ich jetzt mal die Antwort künstlich verkürzt.
Ich liefere nur noch Antworten auf A und AAAA Records zurück. (Auch google blockt ANY bei ripe.net)
Mehr dürfte keinen Endnutzer interessieren.
Bin mal gespannt ob die Angreifer nachziehen...
Wenn nicht lache ich mich tot...

[wanne]

Der Erfolg ist durchschlagend...
Angriffe haben komplett aufgehört. Die scheinen tatsächlich alle nur auf ripe.net zu testen und wenn da die Anwort zu kurz ist suchen sie sich nen anderen.