[Postfixbuch-users] DDOS ueber DNS

Uwe Driessen driessen at fblan.de
So Mai 3 10:54:11 CEST 2009


On Behalf Of Friedemann Stoyan
> On  3.05.09 02:21, Uwe Driessen wrote:
> >
> > Alle meine DNS-Server wurden so präpariert das nur noch für die eigenen Netze der
> resolver
> > befragt wird bzw. für Fremde nur noch auf Anfragen zu selbst gehostete DNS Einträgen
> > geantwortet wird.
> 
> Spätestens seit Kaminsky [1] sollte diese Konfiguration der Standard sein.
> 

Pech wenn man kleine Access Geräte als Funkrouter für öffentlichen Zugang hat die keine
Ahnung warum plötzlich angefangen haben auf externe DNS Anfragen zu antworten.

Der weg war extern an Accessgeräte von dort (weil ja eigenes Netz) an den DNS der hat das
dann schön beantwortet und von dort dann wieder den Weg zurück zum gefälschten Absender.
Das waren zwar bei mir "nur" 10 Geräte mal 2 Anfragen in der sec das dann dazu führte das
das eben nicht auffiel. Trafik war auch nicht so das man sagen könnte da wäre was
Auffälliges.
Hochgerechnet auf's Inet dürften damit aber einige tausend Antworten pro sec zusammen für
den HOST gekommen sein.  
Ich schätze mal dass das ganze 2 Tage lief bevor ich jetzt dahinter gekommen bin.

Im DNS selber war das durchs caching eben auch nicht zu sehen.

Dieser Angriff kann auch mit ganz normalen Domainanfragen für existierende Einträge
gefahren werden. Die Menge macht's.

30000 Botrechner die an die gleiche Menge öffentlicher DNS Server anfragen mit gefälschtem
Absender schicken, da kann dann schon der eine oder andere Server Husten bekommen, selbst
wenn alle nicht angeforderten Antworten verworfen werden ist die Last auf der Leitung da.



> mfg Friedemann
> 
> [1]: http://en.wikipedia.org/wiki/Dan_Kaminsky
> --


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




Mehr Informationen über die Mailingliste Postfixbuch-users