Vreemd name server misbruik

@Roy ja ik zie allerlei scanning plaatsvinden… soms hele subnetten van /24 waarbij elke systeem elke uur een poort checked na een uur 256 verder etc. tot ze alle poorten gehad hebben… .en dan opnieuw.
Je kan er ook van uitgaan dat NA jouw adressen de volgende onderzocht worden.

Er zijn allelrlei systemen die can adres 0.0.0.0 -. 239.255.255.255 ALL 64K poorten uitproberen.

Denk dan aan:

Wij hebben dan vaste adressen, er zijn ook hele volkstammen die random adressen hebben, dus dat een systeem lang op een adres zou zitten is een beperkt beeld op de wereldwijde werkelijkheid.

Zucht… (richting Google en MS, niet richting Arien )

Wel een beetje OT. Maar ik moet even nuanceren.

Bij Microsoft kun je tenminste nog piepen. Daar krijg ja na het eerste automatische antwoord aandacht van natuurlijke personen. Je moet wel een Microsoft-account aanmaken om bij het juiste formulier te kunnen komen.

Met Google krijg je gewoon geen contact. Die houden zelf ‘de reputatie van IP-adressen’ bij en kennelijk laten ze na een ‘tijdje’ (lees maanden) je e-mail weer door. Bij mijn weten kun je niet eens zien waarom je mailserver geblokkeerd is.

Even kort verder o.t.
Bij Microsoft kun je met wat moeite inderdaad een blokkade ongedaan krijgen. Maar na een maand of zo is 'ie er gewoon weer en kun je opnieuw hetzelfde verzoek doen (aan weer een ander persoon die weer van niets weet en het weer vervelend vindt en weer meeleeft en die het weer “permanent” gaat oplossen).
Vorig jaar nog ging het contact met Google vrij soepel en was het probleem snel en langdurig opgelost. Nu kan het alleen nog maar met een formulier waarvoor je een account nodig hebt en je verplicht bent een mobiel nummer op te geven.

Anyway, mijn prolemen met die twee lijken te maken te hebben met het IP adres / het IP blok, vandaar mijn eerdere uitegesproken hoop.

@arien , als een IP wissel voor mij een oplossing is dan heeft Freedom toch nog steeds “last” van die verstuurde pakketjes? Die blijven nu immers ook komen ondanks dat ze hier gedropt worden. En zo lang als ze komen, snoepen ze bandbreedte. Als deze pakketjes aan hele subnets worden gestuurd dan kan dat oplopen.

@Noci , Ja dat gebeurt mij ook inderdaad. Maar die scans houden vrij kort aan, gelukkig.

Voor zover ik kan zien zijn deze scans 24x7 continue vanuit vele bronnen.
Als je tcpdump/tshark/wireshark aan je link hangt zul je behoorlijk wat verkeer zien.
waaronder een deel gewenst verkeeer en een groot deel waarbij je vraagtekens kan zetten.

Ik wordt hier ook niet echt blij van al het volk wat zich “security researcher” noemt en denkt dat ze daarmee het recht te hebben om alles te scannen en te proberen. Het enige wat in hun voordeel spreekt is dat ze zich vaak duidelijk kenbaar maken, bijvoorbeeld door een opvallende user agent in http requests.

Oh… als je daar een link voor weet dan zie ik die graag.

Om daar iets zinnigs over te kunnen zeggen moet je echt een ticket maken.

Is dat niet gewoon de Google postmaster tools? Ik heb ooit via die weg een server kunnen delisten.

Ja, dat is de link inderdaad. Maar:

• die werkt alleen als je een account heb
• zonder mobiel telefoonnummer kun je geen account aanmaken
• het duurt tegenwoordig weken voordat je een inhoudelijk antwoord hebt

@arien, ik heb er zelf niet zo’n last van maar als het jullie helpt dan maak ik straks even een ticket aan.

Zo plotseling als het probleem onstaan is, is het weer verdwenen: de afgelopen week precies 0 packets tegengehouden, waar het er eerst miljoenen waren…

Nu heb ik het probleem terug, maar dan op mijn primaire name server, die niet op mijn Freedom aansluiting draait. Nu met enkele duizended requests per minuut voor ferc.gov en het TLD .sl

Aangezien ik daar geen firewall apparaat voor heb staan, rest mij weinig meer te doen dan wat lokale firewall rules op de server zelf aanmaken. Lijkt vooralsnog effectief terwijl functionaliteit intact lijkt te blijven.
Voor de liefhebber:

iptables -I INPUT 1 -p udp -d <IP address> --dport 53 -m string --hex-string "<string>" --icase --algo bm -j ACCEPT
...
iptables -A INPUT -p udp -d <IP address> --dport 53 -j DROP

Irritant is het wel. En al deze packets worden dus gewoon door heel wat partijen doorgegeven terwijl ze overduidelijk vals zijn.

ik weet dat .sl voor reflection attacks gebruikt wordt, omdat de antwoorden erg groot zijn.

$ dig +dnssec sl dnskey @2a10:3780:2:52:185:93:175:43
;; Truncated, retrying in TCP mode.

; <<>> DiG 9.20.7-1-Debian <<>> +dnssec sl dnskey @2a10:3780:2:52:185:93:175:43
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61567
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;sl.                            IN      DNSKEY

;; ANSWER SECTION:
sl.                     18847   IN      DNSKEY  256 3 7 AwEAAb4qjYqBg4yE5D+OKMKCt8pOMfhl69duSzOnVq/GD/xlVUMmvueh EkD2q048nkEqAHEiL+r8ggxV+t+SIyTwWKU3OkkQdHzCUpEEK5nVE2CI yjidqMxC99aAA5fSJH+oQexm6/gh9gSvd6Xmudu2mNbHH72Gvg6iJ88O Drlu184vYzg95xtNN7Mw1Vljq/1voHFzdy0SrB6HP7H+PrnO773Lc8u7 bt/FgWd0h4/BWxdoK2iyeG2sqO6CoLmAikSBrXeCN59PixOsJgLo9Wyp 8UC6LXIS8veSZ6/AgtyR9F+r3I5VexjQzdjr8DcyOpym/cfSq0Uudako LIsrAy9Ji1M=
sl.                     18847   IN      DNSKEY  256 3 7 AwEAAcs80gvIGeM7TDoBt0gfjFsmJ+6UOdllB39s2RuwjQxHuOhnzWTW uuR3R28fuYVkfQs67OweuAcg2QilShXyrrnpaFTkuoOqN5ZGvBuIOQVA fxUHXuDmPg8luuNyIOwrV0WR4Z8BnhAAuaZOAWpvpa5QsP4Zv4wEopjZ iwvbZNYeuTZu/Lrh8kLx2BjRNKE3vX901UC9jo/aueInhnLtAm7iPkqD icOvMiLeEgCCGf76gFf3EjNKtO78T/LF0ySL8saQGTb/shrfeCp6DKzf pk9PTrM0yjckMM2IgpmwVCJFVoBGlt0MZeunuengAbB1WwaDwRrVro3O 4XcqohmRp0c=
sl.                     18847   IN      DNSKEY  257 3 7 AwEAAdxd7o/dx+wvfkCapfZkKFGjalYjk35IDQ7ZrlvtvYXf9a/MBxAB VbuY2ipb/At7Cn2MREtVfdT/+TWEzqeybYXZSBwYtkfGxdHvmppddHQj /aFZ6OpQ22W4XnLDv3SGayueUAZ693tJNy8DFJlyuiT1n0oFn66r2swd kTbhAwesTN40f/Kgz/m02FqcnyEce0aB+ffR4qxbRaBQKNfzoE/on6kL ODDgI6g5W1qa11hcrH1CmKy/j2LzVbm90DsFOhUdfZOIFR9Pq21lysTI O8alMiQO4BhiaOyXqItA6ptGQbGORRNH1Qn++8CNi/vUr852W459VFrm 0MIgqoUyUtPafjiPdyb7GcQiA8s4+Sf0niQFxpbdINDk5B1VjyTgZI95 /N21vUdHWD1Cp4eK/CRvNMcLp0ZqDiOBZG5LEk/7d2Cpc9xImgMfdp1v DTMo+xEw4MVf2JlzMZJZr5cWKc/dpQb4/Kh6JnwQFSR4Chd+hVu9AHRz ojro7qDUoTVNOdrrzVsk/10NIGDg0LaPbAQI6JtU5DQCRPVcjoOGeCI1 E2bWKMLwl4qYnJn9KMDo3/5fxU14+YHZ44C1rAn7AXhZX3me3a5phTBR QtSkudiSxf1Bf52yguXFyEIUPbdPSBSIKL5tflsfZ8JCRt8dfDYh8aGM Gev7U7HsiMKuxxqT
sl.                     18847   IN      DNSKEY  257 3 7 AwEAAfHhW4FXfxF41FuOfzmFu+lphl7YE4Q9nS+vcfuSYXsDdp1sHSOb pJ5TmIH9Kde1QncZJiohXKadkeBAPVa6d2H1ol5uPXq2ZF7riT4cvNZD HcO0BFHGVqsmb+ut+J4P1rfhoCDgWyUhwHJKQj4hfYgdHMFDH5EpCVoN I1PzwXM1J2GSIah2OFRTehvVglduiZES2fQuEMToaranjtSMZ2qIHr+6 wBD461y3VxhPJS0EYi9GV+SRHWvgu6YcTbpH91atZFG74/117DHOGdZt HHIYru/imz5qEstlz1tfekBb44v6RIZewp1Zp1Z13nLUSze1nBFTfdyc XFWfD3eaZuY7vgTURMsE803NJKCYaP/HeV92VTfnDVarreRUSBD2uN5G z8HCr8VPtbj+zSHCReqalXvTgTqMXRKEqufGvH7q3pypYOlz1Uh2HgWM 4B/yoxGxCnwH4r+Y6fV9gHE2qq6xt2uG81YzskwehWfvDlWerWq6xK/z YJ1tyUUvI9BU2GCCg7MqbY6VrHYlH75i/O9BCC21PwToKNhT4Mx+L/lp 5mE91Af74SH+5LEFY+N8JAjOh26c3yipAjlqMSWLtAfaTZzSwlZ60hWI dDvKBl4UUlxPQznFNFlSCpJ2C5H9+iNtWanPsR/9TAsdYa25fhLPWQRd OGFecVwP5/1hDL2/
sl.                     18847   IN      RRSIG   DNSKEY 7 1 21600 20250424213532 20250325211027 14507 sl. qpPCpMIX7xvPjDTX2lE8tGi6t5vgCMh9uddOc9s6nY3mvnwic7A4efKv SYt1NZfy12SNYMlvUVDIRNTP08Y9kfzJxJpQbjXRChbKPFK05VP9ZuWy /aZu6RGa+TxAaTre9pLlibrg00sJLHSuVkSKuxUGQUdIoKcLNlAgwR4J ePX5RqXQflzW25KE/sE6FfNtlV7QIApl2N5awIBfG/bw638IHSlU8YGV wvkRYYl/BhVaDsUYHxkF7RyN9oWDL5QgkI9awtQjzFRgfrkm++w3l9/O 0wp9CuDNu8+tqdZuc/ZV/ruWmHZ5gPncTN5q5owhSt83jH+kr/LcFx2z X1+R+g==
sl.                     18847   IN      RRSIG   DNSKEY 7 1 21600 20250424213532 20250325211027 55940 sl. aSHY7kOJ0Xvj9RmdnOqxbSNvZG810TnntAH6bHRGzrdkDAAo6x2nPotq SCbm11oPZsz/Ex1+p7X70GlZUNJ13M46SGKIJX+zYz+Jh+CcjCSTzlfT BX+cUCXda90Ciylpjl7e6MyVg930dbEyk2o5gg8J77CCq5/MET1tlrtn 6L8fh0aWFxJ/vChdO1tGJMW4OHY5e4sJZYVStcO8tnO0icJE+txwb2zL 5QSEi7qnIA8a0aI+9QFgaP9Fg9m8yTGVkX/WBE6S5Ukba6uEmVW7x/i2 RFeDsH7aP7yaipmg8VuoysGFOiP8C8ginEu+U5GVBAOZZPWR5Fl1ooUm GyWhwA==
sl.                     18847   IN      RRSIG   DNSKEY 7 1 21600 20250424213532 20250325211027 40824 sl. QfQzC9KOgDlYPlMFMkn3rXSM29EnxWtFDURk4njjw3uCMy0O0IkHyW2e 8hQ8nEj7UmCFe/1L5VX0KFKo1B2MLA+UDfszRJedYyPcMr3uyeKR2hwZ CcfLyc/m481JmdmmE8ZT/l/sKsVwba40HVz9A0RWCndkqCuJgMSoAUCg Yev4QhnQEtJEpezMZkFSpH40J0MbnLfBQ1sjY7M3fmtcWtbU9j21SRFu tDG2BujqQ9DrcWDOjtWcdrw0Pv2KcJqB7Tq5O2Ms3mrPKuL5Z2hSFy86 AuAEtX6iK9Qc+gc+LHFEGkdQa/Q2RXqWcQQx9Pk1L5ssmg8NwhSnTVuv id0LXas32JBJXSAU5YSRsxnevNcB8cx4BiLNgBG5OFJ5XpjIcWgS/OZb b6ktT21kBNBTai3wlDC4jV3qq+q5gyP5VZ3hGSG/lU34fv0MSgfBHFvr NUonpnV9PT2VS5y2QVqAWLBA1H/WnJW+wIZQ+xblRcHZVOmgxZjJQLDr AwDi9MTedazqeY5UfaUz1tiluufwY8eajy225Qh3sAcIktMxEDki6fLC VpGyZYKnO34pVW7CIf9Smj35cYhzk7GFBepuOGMhKf1sOYPQFf1YxlLC wMh8mFYXzeeNjyS7XZ/6nejZVN2nLVDtVm31WBQbAgTcpIBkC5msVNAH C1PGN+zub4Y=
sl.                     18847   IN      RRSIG   DNSKEY 7 1 21600 20250424213532 20250325211027 1179 sl. odk/SE1HArjQG2a/vb5wRyNMRLfc3rKuqtj8mjQgzT8U0d1o26Ob62Io g2JtW0as97D+THCMW+gZO74dHCyF6JbAayguiA3wkfFHtwPoz5A9MG+a UtJy2GQu1bzurQbZ2YKnuNt3zjHw1XOqnNIwhSre0ZPhr8Wax/+nGWip FupoMOQsdRcLN6UC5ukKzevDXsGnRTZyEm2vldnmUSSZGB3H5TZI/c7i RyP6X25ca+guObEizx/ZvU0efXTZKofTeCmg0k0hp3mzsyEY3VeUdKS/ VVx0++wF4aXPyI6PxQKwWv0dQAxJnxZsZHZe5r3KFIQUjz1PHN/jcOuv YUzjqexYrbuO4t0Yrzsyh3vyPsMmupg6UtZ1JnXfQVz5NrZX0SsdtLSM gn2bxNDuaMt7H1uf1NiDl/HqiBuHwWxismV2SjK/1ISwB5dj9VFJxsff z1gXyID8uQhUY4+UGdtwwJnuOo1AhFajD+PVMkUlpReKmWd1aCGU/ei8 XJFZZ8C0XWFz0mOw5S8iD/WUmZ1bQ6pwiSWrn99WyuOaHglJTSMo4Kag guKC8wposxF9dmiChV/n748Jr/qn2suTLuHrAO3BH43rvByQkQkDtpVu 4GieHir0XT0pgEJuZHKwI+DLl+rNX26wNlW1Pd6Uuq+J97tWI94RVV6a Dw1utyvuFOI=

;; Query time: 3 msec
;; SERVER: 2a10:3780:2:52:185:93:175:43#53(2a10:3780:2:52:185:93:175:43) (TCP)
;; WHEN: Sun Apr 13 09:55:37 CEST 2025
;; MSG SIZE  rcvd: 3319

Het source adres van je packets zijn FEITELIJK de targets die ge-DDOS-ed worden.
(UDP heeft geen sessies dus een random systeeem kan jou een pakket sturen voor een reuzen query met als “afzender” het aan te vallen doel en jij stuurt dan het antwoord naar dat doel…)

1e verdediging: antwoord UITSLUITEND op queries voor jouw adres… (Geen recursive resolution)…
Als je recursive resolution nodig hebt, zet een allow / deny ruleset op zodat uitsluitend de adressen/adres blokken waar jij antwoord wil geven dat ook krijgen.

2e verdediging: fail2ban opzetten zodat de logs van je name server met query adres gelogged worden en als er te veel / te snel aanvragen “van” een bepaald adres afkomen dan ook het adres geheel blokkeren voor ALLE verkeer.
Fail2ban kan de blokades voor je managen, 24x7 …

3e verdediging: ratelimit dns queries naar je DNS server op IP/UDP niveau.

Dan verwacht ik een query naar TXT records, die vaak het grootst zijn, met dnssec. Gek genoeg gaat het vooral om ANY queries. Deze worden sowieso gweigerd. Los van dat het hinderlijk is, snap ik niet wat nu het doel van deze “attack” is.

@Noci , het source adres is iedere query anders, steeds uit een grote reeks met iedere keer een ophoging van één of twee. Dus 12.23.34.1 , 12.23.34.2 , 12.23.34.3 etc. Lijkt me heel onlogisch dat het source adres het werkelijke target is (of het hele subnet moet het target zijn). Dit maakt fail2ban ook nutteloos, of ik moet na één hit het hele subnet blokkeren.
De name servers zijn niet recursive, uitsluitend authoritatief; recursive queries worden refused.

Het probleem is ook niet groot voor mij; deze vreemde attack is effectief te filteren door inspectie van de UDP pakketjes m.b.v. IPtables (rules heb ik hierboven als voorbeeld geplaatst zodat iemand anders er misschien zijn voordeel mee kan doen). Daarnaast wil ik dat (ook al is het antwoord “refused”) de server geen enkel antwoord geeft op deze requests.

idd. NXDOMAIN / REFUSED is ook een antwoord.
iptables kan het idd makkelijk filteren, het wordt een ander verhaal met NFT die heeft geen string filter meer, of met een andere firewalls (pf).

Dan filteren:
Het kan een poll poging zijn door een DOSS farm om te zien of er effect is… in dat geval is een block poging geen probleem.
Het kan een poll farm zijn om open resolvers te vinden, ook dan is een block geen probleem…
Het zou (heel kleine kans) een legitieme vraag kunnen zijn… maar dan is het enkelvoud, eenmalig. dus bij herhaald vragen is de kans dat het legitiem is best klein.