Ik heb mijn eigen name servers, waarvan ik er eentje op mijn Freedom aansluiting heb staan. Nu zie ik er de laatste paar maanden iets geks op gebeuren; een soort van DoS. Dit is wat er gebeurt:
Ogenschijnlijk vanuit grote IPv4 subnets uit Zuid-Amerika worden er NS requests gedaan naar mijn name servers voor domeinen die ik overduidelijk niet beheer: eerst waren dat uber.com, google.com, microsoft.com, spotify.com, atlassian.com en nog een paar meer. Op dit moment is dat voornamelijk cloudflare.com. Het source IP adres is iedere keer uit een subnet en is heel systematisch de eerstvolgende uit dat subnet. Zijn alle IP adressen uit een subnet zo gebruikt dan wordt er geput uit een andere. Is er zo een aantal subnets gebruikt dan begint het van voor af aan met requests voor een ander domein. Ik geloof niet dat de IP adressen echt uit deze subnets komen; ze zullen gespoofed zijn.
Ik krijg iedere seconde ongeveer 5 requests voor cloudflare.com (TXT). De UDP pakketjes zijn ook, op het source adres na, identiek.
Het gaat niet om een resolver maar om een authoritatieve name server. Deze zijn altijd āopenā, daar hoef je geen scan voor te doen. Je kunt checken of de server aan rate limiting doet (dat doet 'ie), maar daarvoor doe je geen maandenlange test. Ook doen ze geen moeite om onder de radar te blijven.
hacking etc. kent vele vormenā¦
Er zijn lieden die non stop het internet afstruinen naar iets wat kan āhelpenāā¦
(naast de lieden die het afstruinen op zoek naar bedreigingen en degenen die het afstruinen om het een en ander in kaart te brengen.)
Het meeste is gewoon driveby pogingen.
Moet je eens opletten als je een VOIP server aan je aansluiting hangt. Dan heb je instant aandacht met name vanuit het Midden Oosten en Afrika.
Dat jouw server goed is ingericht is nog geen hulp bij het niet onderzocht worden.
Ze zijn vermoedelijk op zoek naar een resolver server voor een amplification aanval.
Overigens kan jouw server nog steeds misbruiktworden door UDP en spoofed requester adres. maar dan met jouw domein naam als aangevraagde naam. Waar je vermoedelijk wel op antwoord.
Ik heb zelf geen DNS server meer maar gebruik zoneedit als slave servers.
Voor die paar domeinen is het gratis.
Het klinkt een beetje als een partij die āuptimeā ofzo van je nameserver probeert vast te stellen. Net zoals je dat vroeger had met http. Geen idee waar dit nuttig voor is, maar het zou gewoon het kunnen opbouwen van een database kunnen zijn met availability, latencies, etc., waar een ander misschien weer sales op kan doen ofzo. Van wat je beschrijft lijkt het duidelijk dat er moeite is gedaan om fail2ban achtige blocks te vermijden. Weet je zeker dat de src blocks gespooft zijn via whois ofzo?
@Noci , ja ik weet dat mijn server daarvoor misbruikt kan worden, maar dat doen ze dus juist niet. Als ik een DNS amplify attack zou voorbereiden dan zou ik niet maandenlang op de deur kloppen.
@meh , de uptime gaan ze zo niet meten; de server beantwoordt de requests niet en bovendien worden de meeste nu gedropt op de firewall, voordat de op de server aankomen. Zelf zou ik dat doen door met enige regelmaat maar minder frequent een āechtā request te doen zodat deze niet opvalt.
Of de source adressen gespoofed zijn kan ik niet zien want het zijn de kleinst mogelijke UDP packets, zonder enige opties. Het lijkt me echter wel de enige mogelijkheid want echt het hele subnet wordt gebruikt:
Heel systematisch. Het lijkt me stug dat iemand een botnet heeft met zulke mooie aaneengesloten reeksen. En er worden vrijwel alleen maar IP blokken uit Braziliƫ, Colombia en Mexico gebruikt (volgens whois).
Het is inderdaad geen goed idee om dit met een eenvoudige fail2ban op te lossen; ik heb het voorlopig opgelost door packet inspectie op de firewall.
Maar zoals eerder gezegd: ik zou graag willen weten waarom iemand deze moeite neemt. Ik snap het gewoon niet: de gebruikte methode lijkt geen enkel doel te dienen. Als je iemand wilt lastigvallen dan zij er veel doeltreffender methoden om dat te doen. Bovendien kan ik me niet voorstellen dat ik de enige ben die dit overkomt.
Mijn aanname zou inderdaad ook zijn dat ze op zoek zijn naar een DNS om amplification mee te doen. Dat jij alleen authoritative draait en niet als resolver weten ze niet.
Kijk ik naar het werkelijke antwoord voor cloudflare.com TXT dan is dat een bericht van 1713 bytes, ideaal voor amplification dus. Je aanname dat de berichten gespoofd zijn lijkt me daardoor juist.
Waarschijnlijk geeft je DNS nu NXDOMAIN responses terug, je zou eventueel kunnen kijken of je de configuratie zo kan maken dat hij in dit geval zelfs helemaal geen antwoord geeft.
Ten eerste omdat je er na een paar tests wel achter moet zijn of je te maken hebt met een open resolver of een authoritative name server. Het eindeloos (miljoenen keren!) herhalen van dezelfde query voegt weinig toe.
Ten tweede omdat als je het source adres vervalst je niet geĆÆnteresseerd bent in de reply. Als de server de query al zou beantwoorden dan gaat dat antwoord immers niet bij de querier aankomenā¦
En nu is het cloudflare.com, daarvoor waren het andere domains en als deze grapjas door zijn IP blokken heen is dan wordt het vast weer iets anders.
De server geeft geen antwoord op queries van niet-gehoste domains; dus ook geen NXDOMAIN. Zoals gezegd filter ik dat nu zelfs al uit op de firewall in de router dus die queries komen daar niet eens aan.
Hoe meer ik er over nadenk hoe vreemder ik het vindā¦
Daarom dacht ik aan iets als uptime (percentueel uitgedrukt, misschien beter: availability), of een andere metriek die exposure van informatie geeft. Maar ik denk ook dat dit niet heel legitiem kan zijn, daarvoor geeft je beschrijving gewoon weinig reden.
Maar wellicht zien we het grotere geheel niet, en zou het antwoord pakketje op zān retour bij de zogenaamde source, een slapende bot wakker maken om zān ding te gaan doen. Maar dat is puur speculaasie/sinterklaasie.
Interessantā¦
Ben benieuwd of dit UDP verkeer ook verstuurd wordt naar hosts die helemaal geen DNS draaien. Misschien ben ik lang niet de enige maar valt het mij domweg op omdat ik een name server heb draaien.
Dat is inderdaad vreemd, als er een vorm van response zou zijn geweest dan is een (poging tot) amplification mogelijk zijn, maar bij geen response is het niet nuttig.
Het enige wat ik dan kan bedenken is dat iemand het op jou gemunt heeft, waarom daar kunnen we alleen maar naar gissen natuurlijk. Zelf draai ik al meer dan 15 jaar 2 eigen publieke DNSāen en heb zoiets nog nooit meegemaakt.
Het gekke is dat ik dit alleen maar zie op mijn Freedom aansluiting. Mijn extern gehoste name servers worden met rust gelaten. Daarom denk ik niet dat men het specifiek op mijn DNS infra heeft voorzien. Het kan dat iemand het op mijn aansluiting heeft gemunt maar met ongeveer 125MByte/dag, dat is een kleine 15Kbit/s, is de impact verwaarloosbaar. Als ik er niet nieuwgierig naar was dan had ik mijn schouders opgehaald en was ik verder gegaan met waar ik mee bezig wasā¦ Maar op een of andere manier houdt het me bezig.
Angezien het vrij eenvoudig is om op grote schaal UDP pakketjes te versturen, vraag ik me wel af of ze alleen naar mij gestuurd worden. Zeker omdat het zo programmatisch lijkt te gebeuren.
Het lijkt erop dat de echte origin de route en/of latency naar jouw nameserver/netwerk aan het monitoren is. De gespoofde IPās zijn dan meer bedoeld om de origin minder zichtbaar te maken. Dat kan inderdaad een realtime uptime monitor voor de uplink of firewall van de origin zijn, of network mapping. Er zijn tal van dit soort goede en evil projecten op het internet die de live routes in kaart brengen. Of iets achter een VPN of intern netwerk dat controleert of de eigen DNS rebinding (malware) nog werkt. Bij een leeg antwoord is dat niet het geval.
Tenzij je jezelf interessant hebt gemaakt in het digitale domein, lijkt het me onwaarschijnlijk dat iemand het op jou specifiek heeft gemunt. Ga er maar vanuit dat je nameserver niet de enige is die door het script wordt ingezet.
Wellicht kan het helpen om even met Wireshark te kijken waar het verkeer echt vandaan komt. Waarschijnlijk een proxy, maar tochā¦
@net , dat is 'm nu het punt. Uitgaande van een gespoofde source is de echte source is onbekend. Het is dus vanaf mijn aansluiting onmogelijk te achterhalen waar het vandaan komt. En omdat de echte source niet te achtehalen is, komen de replies nooit aan (ja, op het gespoofde adres als ik antwoord geef).
Het zou interessant zijn of anderen ook deze gekke requests op hun aansluiting krijgen, ook al staat er geen name server.
Misschien vind iemand bij Freedom het interessant om te kijken naar dit vreemde verkeer?
Een ideetje omdat je zegt dat je het alleen op je Freedom adres ziet: Hoe lang heb je dat adres al? Zou de vorige gebruiker misschien wel een open resolver gehad hebben en staat je adres simpelweg nog ergens op een handige-adressen-om-te-misbruiken lijst?
@arien , dat levert nogal wat werk op dus als het niet absoluut noodzakelijk is dan probeer ik dat vooralsnog te voorkomen. Ik houd het wet in gedachten voor wanneer het de spuigaten uit loopt.
Ik zie bij mij op de WAN een paar DNS verzoeken binnenkomen voor wat ANY queries en non-fqdn namen. Afkomstig uit Duitsland en Bulgarije. Maar niet het patroon en de hoeveelheid zoals bij jou.
@pa4wdh , dit adres heb ik vanaf het begin; een paar jaar dus. Maar wat je zegt dat kan natuurlijk heel goed omdat het ooit gerecycled is. Wellicht is dit ook de oorzaak van de problemen die ik heb met het versturen van mail aan Google en MS adressen
Misschien toch eens nadenken over @arienās aanbodā¦
