[Freedom server:] DDoS-aanval op DNS: en nu?

Herstarten lijkt me nu onverstandig, aangezien er ook problemen met de access routers kunnen zijn, waardoor je PPPoE-sessie misschien niet meer opkomt. En dan ben je helemaal verder van huis.

Het is denk ik dan beter om op je clients tijdelijk andere DNS-servers in te stellen. Ik weet te weinig van FritzBoxen om te zeggen of je zonder reboot de upstream DNS-servers kunt aanpassen. Ik gebruik zelf alleen OpenWrt, waarnaar ik kan SSH’en en simpelweg service dnsmasq restart kan doen.

Wat ik gedaan heb is de dns servers tijdelijk ingesteld op 1.1.1.1 en 8.8.8.8. Dat zijn de publieke resolvers van respectivelijk cloudflair en google (als ik me niet vergis).

Modem restarten in dit geval helpt niks, maar je moet natuurlijk wel eerst uitvogelen waarom het internet het niet lijkt te doen. In mijn geval had ik het zelf niet door omdat het internet zelf prima werkte, maar met name mijn vrouw erg geirriteerd bleek te zijn omdat “het internet het niet deed” :slight_smile:. Een simpele ping laat dan zien dat het opzoeken van het adres via dns niet lukt.

Wat mij meer intrigeerd is waarom Freedom klanten last hebben van een DDOS-aanval op de DNS servers, waarvan ik aanneem dat de aanval van buitenaf komt. Een “resolver” zoals dat voor ons heet, hoeft natuurlijk helemaal niet beschikbaar te zijn vanaf buiten het Freedom netwerk, en zoals in dit geval gedemonstreerd heeft het geleid tot een probleem voor ons als klanten, wat dus niet nodig had hoeven zijn. Het alternatief van Freedom om even een aparte resolver neer te zetten met een ander adres, geeft aan dat dit dus ook bij Freedom prima kan, maar het wel weer vreemd dat die aparte resolver niet gewoon de IP adressen van de bij elke klant bekende resolver heeft gekregen. Ik snap dat dit niet zomaar even kan, maar er zal toch zeker een interface zijn voor binnen, en anders is het forwarden/pointen van verkeer naar een andere machine toch ook geen onbeheersbare oplossing.

Ik weet niet of de Freedom resolver ook dns0 is voor onze reverse adressen voor onze subnets ofzo, maar ook daar zou je verwachten dat dns0 nooit via het internet beschikbaar is, maar enkel de slaves dns1 en 2. Je wil nooit dat je dns0 gepoisoned DDOSsed kan worden, zodat je altijd controle houdt over de authentiteit van je DNS records, en in geval van een aanval of subnet split/onbereikbaarheid je een nieuwe dns slave binnen no-time kunt optuigen en van dns0 laten repliceren.

Kortom, ik hoop dat dit niet nogmaals zal gebeuren. De DDOS aanval wellicht wel, maar niet dat wij als klanten daar hinder van ondervinden. Dit is in mijn optiek een beetje teleurstellend van Freedom… :frowning:

Er zijn verschillende manieren waarop een DDoS-aanval gedaan kan worden en het kan ook zijn dat het netwerk gewoon helemaal vol zat met pakketjes en dan kunnen de pakketjes voor DNS ook niet meer de deur uit of de antwoorden komen niet meer aan.

Uiteraard! Maar in dat geval zou ik ook zelf niet meer kunnen resolven, of bestaande flows (verbindingen) ongehinderd voort kunnen zetten. Dus dat lijkt me niet het geval geweest te zijn. De nameserver (of de network stack op de machine) is gewoon zelf te druk geweest om requests af te handelen.

DNS blijkt al langere tijd kwetsbaar te zijn voor eenvoudige DDoS aanvallen. Niet alleen Freedom heeft daar last van, maar ook andere providers.

Misschien is het mogelijk voor Freedom om anycast adressen te gebruiken die alleen bereikt kunnen worden door Freedom klanten. Daarmee kan load balancing en horizontal scaling bereikt worden, maar besef je dat het mogelijk is om uiteindelijk de IP adressen van resolvers te vinden. Uiteindelijk moeten de DNS resolvers van Freedom gebruik maken van andere DNS servers, en dus UDP datagrammen versturen en kunnen ontvangen. En daar heb je dan ook meteen weer een attack vector te pakken.

Zelf maak ik geen gebruik van DNS resolvers van ISP’s maar heb ik m’n eigen resolvertjes draaien. Zo ben ik al vaker gevrijwaard gebleven van de gevolgen van dergelijke DDoS aanvallen. Ik realiseer me dat dit niet voor iedereen een haalbare oplossing is.

1 like

Vanuit huis routeer ik al mijn DNS verkeer via DoT naar NextDNS die snelle anycast DNS draaien. Grote voordeel is, dat je daar onnodige tracking kunt filteren. Wat ik opzich ook we een mooie feature van Freedom zou vinden: anonieme anycast dns via DoH of DoT.

4 likes

Ik neem aan dat je een anycast DNS-resolver bedoeld.

Zelf een DNS resolver draaien kan natuurlijk ook zoals @Optimist hierboven ook al zegt.

Ik heb hier een Raspberry Pi waarop Pi-hole draait (om advertenties en andere rommel buiten de deur te houden) samen met Unbound, een recursive DNS resolver.

Het is een beetje technisch gedoe, maar er zijn uitgebreide handleidingen op het interweb te vinden.
Ik had (en heb) nul verstand van Linux, wil dat ook zo houden, maar het is zelfs mij gelukt :sunglasses:

Ja klopt, je hebt gelijk.

NextDNS heb ik ingesteld in de FB n.a.v. bovenstaande tip, waarvoor dank @readefries ! Alle veiligheidsfilters staan aan en enkele privacy filters. Gevoelsmatig is bij websurfen de respons een stuk beter dan bij de DNS’en van Freedom. Volgens mij is het geen verbeelding. Maar heb geen tijden gemeten, het is puur subjectief.

2 likes

Graag gedaan @Frits! Dat gevoel had ik ook.

Dat filteren is wel heel handig. Je kunt ook profielen maken, zo hebben mijn kinderen een ander profiel.

Dank je, dank je, dank je. Geweldige service NextDNS. :slight_smile:

1 like

Graag gedaan :slight_smile: Ik ben er ook erg blij mee!

1 like

Ik heb wat problemen om op de site van Freedom te komen omdat waarschijnlijk de DNS onbereikbaar is.

Gelukkig had ik nog wat IP nummer van Freedom liggen en kan nu zelf voor DNS gaan spelen en zo weer wat Freedom ervaren.

## Actuele storingen

### 22 maart 14:56 Freedom.nl verminder bereikbaar

Freedom.nl is verminderd bereikbaar. Hierdoor kan het zijn dat je niet in de webmail komt of in de mijn omgeving. Onze beheerders zijn op de hoogte en werken aan een oplossing.

De RSS geeft hier nog niets aan.

Hmmmm… Zouden het weer DDoS grappenmakers zijn? Er is op dit moment een DDoS op de DNS van TransIP gaande.

Hmmn, waarom draaien ‘we’ dat eigenlijk bij Transip?

Dat lijkt mij inderdaad het geval. Ik zojuist ook de RSS ontvangen.

In de opbouw gebruikt Freedom services van derden om niet alles in één keer alles te hoeven doen. Zo kun je rustig bouwen aan je eigen services en wanneer rijp voor productie dat zelf afhandelen. Telefonie zit by Voys en mail bij Soverin.

De DNS servers waren net dicht bij de snelweg binnen Freedom gezet:

Toevoeging: de DNS servers zijn verbonden met die van TransIP, die schakel heeft dus nu problemen door de DDos. De authoritative lijkt bij TransIP te staan en dan krijgt niemand geen resolve meer voor Freedom.nl als die in cache verlopen is.

Freedom verricht wonderen. Zij schijnen eventjes de wereldwijde plaag van DDos aanvallen te hebben te hebben opgelost. :wink:

Dat vind ik altijd zo flauw…
“we zijn op de hoogte van het probleem”
“we werken hard aan een oplossing”
“we hebben het probleem gevonden en opgelost”

Wat was het probleem dan? hoe is het opgelost? wat zijn de acties die genomen worden om te voorkomen dat het probleem weer optreedt?

(Ik neem aan dat het probleem niet “er zitten teveel mensen op de website” was, en dat de oplossing niet “we hebben gewacht tot ze weer weg zijn gegaan” is.)

2 likes

Ddos aanval, zie berichtgeving