[Freedom server:] DDoS-aanval op DNS: en nu?

Hallo,

Ik ben benieuwd welke acties je hebt genomen tijdens de afgelopen DDOS-aanval op DNS van Freedom.
Zelf heb ik er niet adequaat (lees: sukkelig) op gereageerd:

Ik merkte op 1 december 's morgens dat apparatuur die 24/7 online behoort te zijn, dat al uren niet meer was. Vervolgens de storingsmelding op de link op de homepage van Freedom gezocht, waar op 1 december volgens mij niet meteen de alternatieve server-adressen op stonden vermeld.

Stond er bij de storingsmelding ook niet een hele tijd dat verzocht werd om het modem niet te herstarten? Ik elk geval heb ik het modem daarom niet herstart. De 24/7-apparatuur bleef daardoor nog langer offline. Op een bepaald moment stonden de alternatieve DNS-adressen wel bij de storingsmelding. Die in het modem gezet en DoT uitgeschakeld, maar nog steeds het modem niet herstart. Apparatuur bleef daardoor uren extra offline.

Toen uitgeweken naar DNS van Quad9. De Apparatuur heb ik herstart, maar bleef nog steeds offline vanwege DNS-probleem.

Uiteindelijk het besluit genomen om het modem toch te herstarten. Resultaat: Alles weer online via Quad9. Op 2 december heb ik de normale Freedom DNS-adressen weer ingesteld.

Wat is nou de beste handelwijze tijdens een DDOS-aanval? Toch meteen het modem herstarten?

Bedankt voor de input.

Nee, sowieso nooit je modem en/of router herstarten. Dat helpt gegarandeerd niets. Het enige dat je kunt doen is de lokale caching DNS-server van je router herstarten nadat je andere upstream DNS-servers hebt ingesteld, en eventueel je DHCP-server andere DNS-servers laten advertisen naar je clients.

Bedankt voor je reactie @Kevin.

Momenteel is weer een DDOS-aanval gaande. Maar ik heb geen idee hoe ik de lokale caching DNS-server van mijn FritzBox kan herstarten.

Hmm, nee, ik ook niet. Niet op een FritzBox zonder shelltoegang in ieder geval. Maar waarschijnlijk gebeurt dat vanzelf wanneer je andere DNS-servers instelt, en ik meen dat Freedom dat wel gedocumenteerd had op de storingenpagina.

Nee, het gebeurt niet als je andere DNS-servers instelt. Dat heb ik diverse malen geprobeerd, daarnet ook en het helpt niet. Modem herstarten lijkt toch de enige mogelijkheid?

Herstarten lijkt me nu onverstandig, aangezien er ook problemen met de access routers kunnen zijn, waardoor je PPPoE-sessie misschien niet meer opkomt. En dan ben je helemaal verder van huis.

Het is denk ik dan beter om op je clients tijdelijk andere DNS-servers in te stellen. Ik weet te weinig van FritzBoxen om te zeggen of je zonder reboot de upstream DNS-servers kunt aanpassen. Ik gebruik zelf alleen OpenWrt, waarnaar ik kan SSH’en en simpelweg service dnsmasq restart kan doen.

Wat ik gedaan heb is de dns servers tijdelijk ingesteld op 1.1.1.1 en 8.8.8.8. Dat zijn de publieke resolvers van respectivelijk cloudflair en google (als ik me niet vergis).

Modem restarten in dit geval helpt niks, maar je moet natuurlijk wel eerst uitvogelen waarom het internet het niet lijkt te doen. In mijn geval had ik het zelf niet door omdat het internet zelf prima werkte, maar met name mijn vrouw erg geirriteerd bleek te zijn omdat “het internet het niet deed” :slight_smile:. Een simpele ping laat dan zien dat het opzoeken van het adres via dns niet lukt.

Wat mij meer intrigeerd is waarom Freedom klanten last hebben van een DDOS-aanval op de DNS servers, waarvan ik aanneem dat de aanval van buitenaf komt. Een “resolver” zoals dat voor ons heet, hoeft natuurlijk helemaal niet beschikbaar te zijn vanaf buiten het Freedom netwerk, en zoals in dit geval gedemonstreerd heeft het geleid tot een probleem voor ons als klanten, wat dus niet nodig had hoeven zijn. Het alternatief van Freedom om even een aparte resolver neer te zetten met een ander adres, geeft aan dat dit dus ook bij Freedom prima kan, maar het wel weer vreemd dat die aparte resolver niet gewoon de IP adressen van de bij elke klant bekende resolver heeft gekregen. Ik snap dat dit niet zomaar even kan, maar er zal toch zeker een interface zijn voor binnen, en anders is het forwarden/pointen van verkeer naar een andere machine toch ook geen onbeheersbare oplossing.

Ik weet niet of de Freedom resolver ook dns0 is voor onze reverse adressen voor onze subnets ofzo, maar ook daar zou je verwachten dat dns0 nooit via het internet beschikbaar is, maar enkel de slaves dns1 en 2. Je wil nooit dat je dns0 gepoisoned DDOSsed kan worden, zodat je altijd controle houdt over de authentiteit van je DNS records, en in geval van een aanval of subnet split/onbereikbaarheid je een nieuwe dns slave binnen no-time kunt optuigen en van dns0 laten repliceren.

Kortom, ik hoop dat dit niet nogmaals zal gebeuren. De DDOS aanval wellicht wel, maar niet dat wij als klanten daar hinder van ondervinden. Dit is in mijn optiek een beetje teleurstellend van Freedom… :frowning:

Er zijn verschillende manieren waarop een DDoS-aanval gedaan kan worden en het kan ook zijn dat het netwerk gewoon helemaal vol zat met pakketjes en dan kunnen de pakketjes voor DNS ook niet meer de deur uit of de antwoorden komen niet meer aan.

Uiteraard! Maar in dat geval zou ik ook zelf niet meer kunnen resolven, of bestaande flows (verbindingen) ongehinderd voort kunnen zetten. Dus dat lijkt me niet het geval geweest te zijn. De nameserver (of de network stack op de machine) is gewoon zelf te druk geweest om requests af te handelen.

DNS blijkt al langere tijd kwetsbaar te zijn voor eenvoudige DDoS aanvallen. Niet alleen Freedom heeft daar last van, maar ook andere providers.

Misschien is het mogelijk voor Freedom om anycast adressen te gebruiken die alleen bereikt kunnen worden door Freedom klanten. Daarmee kan load balancing en horizontal scaling bereikt worden, maar besef je dat het mogelijk is om uiteindelijk de IP adressen van resolvers te vinden. Uiteindelijk moeten de DNS resolvers van Freedom gebruik maken van andere DNS servers, en dus UDP datagrammen versturen en kunnen ontvangen. En daar heb je dan ook meteen weer een attack vector te pakken.

Zelf maak ik geen gebruik van DNS resolvers van ISP’s maar heb ik m’n eigen resolvertjes draaien. Zo ben ik al vaker gevrijwaard gebleven van de gevolgen van dergelijke DDoS aanvallen. Ik realiseer me dat dit niet voor iedereen een haalbare oplossing is.

1 like

Vanuit huis routeer ik al mijn DNS verkeer via DoT naar NextDNS die snelle anycast DNS draaien. Grote voordeel is, dat je daar onnodige tracking kunt filteren. Wat ik opzich ook we een mooie feature van Freedom zou vinden: anonieme anycast dns via DoH of DoT.

4 likes

Ik neem aan dat je een anycast DNS-resolver bedoeld.

Zelf een DNS resolver draaien kan natuurlijk ook zoals @Optimist hierboven ook al zegt.

Ik heb hier een Raspberry Pi waarop Pi-hole draait (om advertenties en andere rommel buiten de deur te houden) samen met Unbound, een recursive DNS resolver.

Het is een beetje technisch gedoe, maar er zijn uitgebreide handleidingen op het interweb te vinden.
Ik had (en heb) nul verstand van Linux, wil dat ook zo houden, maar het is zelfs mij gelukt :sunglasses:

Ja klopt, je hebt gelijk.

NextDNS heb ik ingesteld in de FB n.a.v. bovenstaande tip, waarvoor dank @readefries ! Alle veiligheidsfilters staan aan en enkele privacy filters. Gevoelsmatig is bij websurfen de respons een stuk beter dan bij de DNS’en van Freedom. Volgens mij is het geen verbeelding. Maar heb geen tijden gemeten, het is puur subjectief.

2 likes

Graag gedaan @Frits! Dat gevoel had ik ook.

Dat filteren is wel heel handig. Je kunt ook profielen maken, zo hebben mijn kinderen een ander profiel.

Dank je, dank je, dank je. Geweldige service NextDNS. :slight_smile:

1 like

Graag gedaan :slight_smile: Ik ben er ook erg blij mee!

1 like

Ik heb wat problemen om op de site van Freedom te komen omdat waarschijnlijk de DNS onbereikbaar is.

Gelukkig had ik nog wat IP nummer van Freedom liggen en kan nu zelf voor DNS gaan spelen en zo weer wat Freedom ervaren.

## Actuele storingen

### 22 maart 14:56 Freedom.nl verminder bereikbaar

Freedom.nl is verminderd bereikbaar. Hierdoor kan het zijn dat je niet in de webmail komt of in de mijn omgeving. Onze beheerders zijn op de hoogte en werken aan een oplossing.

De RSS geeft hier nog niets aan.

Hmmmm… Zouden het weer DDoS grappenmakers zijn? Er is op dit moment een DDoS op de DNS van TransIP gaande.