UDP Flood на порт DNS.

[koshev]

Доброго времени. Где-то с неделю стал подтупливать кеширующий DNS.
Ну ладно, смотрю конфиги, мой косяк, сделал рекурсию и кеш для всех, исправил, запретил кеш, затем (перебдел) дополнительно записал параметры rate-limit, стало полегче и... в лог посыпалось

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

03-Nov-2014 23:29:56.154 info: client 121.103.13.149#65123 (qhvqfesqkse.nxapi.appledaily.com.hk): view external: query (cache) 'qhvqfesqkse.nxapi.appledaily.com.hk/A/IN' denied
03-Nov-2014 23:29:56.164 info: client 119.9.210.13#48673 (snxogsjigwt.nxapi.appledaily.com.hk): view external: query (cache) 'snxogsjigwt.nxapi.appledaily.com.hk/A/IN' denied
03-Nov-2014 23:29:57.703 info: client 108.241.251.240#54228 (nilawsxcguo.nxapi.appledaily.com.hk): view external: query (cache) 'nilawsxcguo.nxapi.appledaily.com.hk/A/IN' denied
03-Nov-2014 23:29:58.884 info: client 110.215.118.193#21105 (qgjadopjits.nxapi.appledaily.com.hk): view external: query (cache) 'qgjadopjits.nxapi.appledaily.com.hk/A/IN' denied
03-Nov-2014 23:29:58.886 info: client 78.189.237.91#35031 (ifbnmuuizcn.nxapi.appledaily.com.hk): view external: query (cache) 'ifbnmuuizcn.nxapi.appledaily.com.hk/A/IN' denied
03-Nov-2014 23:30:01.947 info: client 95.98.219.207#39061 (hlteerztdiq.nxapi.appledaily.com.hk): view external: query (cache) 'hlteerztdiq.nxapi.appledaily.com.hk/A/IN' denied
03-Nov-2014 23:30:02.572 info: client 97.53.77.215#3651 (dqwbfsjsnur.nxapi.appledaily.com.hk): view external: query (cache) 'dqwbfsjsnur.nxapi.appledaily.com.hk/A/IN' denied
03-Nov-2014 23:30:03.411 info: client 104.38.33.74#61334 (jtwurwpchrs.nxapi.appledaily.com.hk): view external: query (cache) 'jtwurwpchrs.nxapi.appledaily.com.hk/A/IN' denied

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

04-Nov-2014 15:10:21.049 query-errors: info: client 217.164.57.137#25345 (isc.org): view external: rate limit slip REFUSED error response to 217.164.57.0/24
04-Nov-2014 15:10:21.103 query-errors: info: client 217.164.57.137#25345 (isc.org): view external: rate limit drop REFUSED error response to 217.164.57.0/24
04-Nov-2014 15:10:21.144 query-errors: info: client 217.164.57.137#25345 (isc.org): view external: rate limit slip REFUSED error response to 217.164.57.0/24
04-Nov-2014 15:10:21.193 query-errors: info: client 217.164.57.137#25345 (isc.org): view external: rate limit drop REFUSED error response to 217.164.57.0/24
04-Nov-2014 15:10:21.229 query-errors: info: client 217.164.57.137#25345 (isc.org): view external: rate limit slip REFUSED error response to 217.164.57.0/24
04-Nov-2014 15:10:21.273 query-errors: info: client 217.164.57.137#25345 (isc.org): view external: rate limit drop REFUSED error response to 217.164.57.0/24
04-Nov-2014 15:10:21.309 query-errors: info: client 217.164.57.137#25345 (isc.org): view external: rate limit slip REFUSED error response to 217.164.57.0/24
04-Nov-2014 15:10:21.357 query-errors: info: client 217.164.57.137#25345 (isc.org): view external: rate limit drop REFUSED error response to 217.164.57.0/24

Хорошо, защитился при момощи ipset+iptables, запретил рекурсию.

Код: (text) [Выделить]

ipset -N dns_bads hash:ip
iptables -N DNS
iptables -I INPUT 3 -d $NS_BIND_ADDR -p udp -m udp -dport 53 -j DNS
iptables -A INPUT -m set --match-set dns_bads src -j DROP
iptables -A DNS -m recent --set --name dns-spoof --mask 255.255.255.255 --rsource
iptables -A DNS -m recent --update --seconds 60 --hitcount 10 --name dns-spoof --mask 255.255.255.255 iptables --rsource -j LOG --log-prefix "DNS Spoof: " --log-level 3
iptables -A DNS -m recent --update --seconds 60 --hitcount 10 --name dns-spoof --mask 255.255.255.255 --rsource -j SET --add-set dns_bads srcСмотрю сниффером:

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

~# tcpdump -vvvSi isp0 dst port 53 and dst host $NS_BIND_ADDR -c 20
tcpdump: listening on isp0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:21:05.558228 IP (tos 0x0, ttl 232, id 22036, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:05.632601 IP (tos 0x0, ttl 232, id 40723, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:05.645513 IP (tos 0x0, ttl 247, id 52066, offset 0, flags [DF], proto UDP (17), length 63)
    95.105.98.204.dynamic.orsk.ufanet.ru.8096 > vl7.132.lan.domain: [bad udp cksum 0x0293 -> 0x02f4!] 52066+ A? z.www.game918.com. (35)
15:21:05.801877 IP (tos 0x0, ttl 242, id 22230, offset 0, flags [DF], proto UDP (17), length 71)
    109.83.214.87.44799 > vl7.132.lan.domain: [bad udp cksum 0xa077 -> 0xa0e6!] 22230+ A? bpqlonvru.www.game918.com. (43)
15:21:05.801954 IP (tos 0x0, ttl 243, id 19795, offset 0, flags [DF], proto UDP (17), length 71)
    cpe-75-80-83-78.bak.res.rr.com.59374 > vl7.132.lan.domain: [bad udp cksum 0x3208 -> 0x3277!] 19795+ A? pcwitazsh.www.game918.com. (43)
15:21:05.822325 IP (tos 0x0, ttl 232, id 1294, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:05.906370 IP (tos 0x0, ttl 232, id 51220, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:05.972093 IP (tos 0x0, ttl 242, id 36232, offset 0, flags [DF], proto UDP (17), length 67)
    h82-143-136-142-static.e-wro.net.pl.11182 > vl7.132.lan.domain: [bad udp cksum 0x3bd1 -> 0x3c02!] 36232+ A? tdgwl.www.game918.com. (39)
15:21:06.003952 IP (tos 0x0, ttl 246, id 44064, offset 0, flags [DF], proto UDP (17), length 63)
    118-168-32-173.dynamic.hinet.net.3071 > vl7.132.lan.domain: [bad udp cksum 0x606d -> 0x60ce!] 44064+ A? c.www.game918.com. (35)
15:21:06.021578 IP (tos 0x0, ttl 240, id 35922, offset 0, flags [DF], proto UDP (17), length 67)
    customer.vtx1.net.46281 > vl7.132.lan.domain: [bad udp cksum 0x0e58 -> 0x0e89!] 35922+ A? gqtfr.www.game918.com. (39)
15:21:06.092896 IP (tos 0x0, ttl 232, id 61451, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:06.167148 IP (tos 0x0, ttl 232, id 24599, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:06.200939 IP (tos 0x0, ttl 242, id 4235, offset 0, flags [DF], proto UDP (17), length 73)
    59.165.139.17.static-mumbai.vsnl.net.in.93 > vl7.132.lan.domain: [udp sum ok] 4235+ A? xfwkshytagu.www.game918.com. (45)
15:21:06.210645 IP (tos 0x0, ttl 248, id 6320, offset 0, flags [DF], proto UDP (17), length 71)
    nc-67-239-176-25.dhcp.embarqhsd.net.13817 > vl7.132.lan.domain: [bad udp cksum 0xb238 -> 0xb2a7!] 6320+ A? rmxgzovna.www.game918.com. (43)
15:21:06.352838 IP (tos 0x0, ttl 232, id 48394, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:06.422357 IP (tos 0x0, ttl 232, id 32010, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:06.610145 IP (tos 0x0, ttl 232, id 36620, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:06.678114 IP (tos 0x0, ttl 232, id 20999, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:06.860525 IP (tos 0x0, ttl 232, id 10766, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
15:21:06.930314 IP (tos 0x0, ttl 232, id 38411, offset 0, flags [none], proto UDP (17), length 64)
    bba117993.alshamil.net.ae.25345 > vl7.132.lan.domain: [no cksum] 10809+ [1au] ANY? isc.org. ar: . OPT UDPsize=4096 OK (36)
20 packets captured
64 packets received by filter
17 packets dropped by kernel

Вопрос такой. Это собственно зачем? Какая цель всего этого UPD-флуда?
Общий конфиг опций (другие конфиги приводить не стал, если нужно выложу)

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

acl LAN { my_net_one; };
acl MAN { my_net_two; };
acl ALL { !LAN; !MAN; any; };

options {
        version "9.8.0";
        recursion no;
        additional-from-cache no;
        additional-from-auth no;
        fetch-glue no;
        directory "/var/cache/bind";
        auth-nxdomain no;    # conform to RFC1035
        listen-on { ns_bind_addr; };
        listen-on-v6 {  ns_bind_v6addr; };
        allow-query { LAN; MAN; };
        allow-recursion { LAN; MAN; };
        allow-query-cache { LAN; MAN; };
        rate-limit {
            slip 2;
            responses-per-second 15;
            errors-per-second 1;
            window 10;
            exempt-clients { LAN; MAN; };
        };
};

include "/etc/bind/keys";

Что конкретно лишнее и|или что еще можно предпринять?

[ArcFi]

Какая цель всего этого UPD-флуда?

http://habrahabr.ru/post/51574/

[koshev]

О спасибо, принцип понятен.

[koshev]

Пробую отловить флуд вида

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

12:03:45.266856 IP 113.85-84-145.dynamic.clientes.euskaltel.es.14875 > vl7.132.lan.domain: 28817+ A? rjy.www.17175.com. (35)
12:03:45.504560 IP host132-18-dynamic.51-82-r.retail.telecomitalia.it.46314 > vl7.132.lan.domain: 33554+ A? h.www.game918.com. (35)
12:03:45.765608 IP 103.219.61.210.2954 > vl7.132.lan.domain: 53565+ A? dijchigtkql.www.345qp.com.cn. (46)
12:03:45.770335 IP 19.78.247.246.7316 > vl7.132.lan.domain: 62967+ A? dctpnasdmrq.www.345qp.com.cn. (46)
12:03:46.043475 IP 24.156.134.44.46436 > vl7.132.lan.domain: 11142+ A? tldju.www.17175.com. (37)
12:03:46.370177 IP 35.170.107.35.45175 > vl7.132.lan.domain: 8811+ A? qgrukia.www.17175.com. (39)
12:03:46.814868 IP 117.210.66.239.11413 > vl7.132.lan.domain: 60994+ A? nbpdrsthiwklz.www.17175.com. (45)
12:03:47.665576 IP 100.116.41.123.61539 > vl7.132.lan.domain: 31273+ A? c.www.17175.com. (33)
12:03:47.709590 IP 80.29.130.110.8362 > vl7.132.lan.domain: 28034+ A? sgp.www.17175.com. (35)
12:03:47.935035 IP 120.100.131.145.29275 > vl7.132.lan.domain: 36995+ A? axaygdi.www.17175.com. (39)


(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

#!/bin/sh -x
FILEDUMP=/tmp/bad_domains.txt
CHAIN=BAD_DOMAINS

tcpdump -ni isp0 'ip[6] = 64' and dst port 53 -c 100 | awk '{split ($8,p,".");print p[3]}' |grep -v ^$ |sort | uniq -c  > $FILEDUMP
iptables -F $CHAIN
[ -s $FILEDUMP ] || exit 0
for name in $(awk '$1>5 {print $2}' $FILEDUMP); do
      iptables -A $CHAIN -m string --string "$name" --algo kmp -j DROP
done
iptables -A $CHAIN -j RETURN
exit $?

Особенность запросов такова, что все они имеют вид A? aaa.bbb.ccc.ddd.[eee] с разных адресов источника, где ccc всегда часть имени домена 2-го либо 3-го уровня. По этому признаку отлавливаю "плохие" запросы.
С HEX связываться пока не стал, предполагая, что вполне себе может поменяться длинна запроса и его тип, но вот, что делать, если запрос A? поменяет свою форму, пока не решил. Может быть кто-нибудь подскажет лучшее решение?

[serega3907]

Я наверно плохо в этом разбираюсь, но нельзя закрыть входящие UDP 53 порт из интернет?
У меня флуд был на микротике, когда его делал в качестве DNS-сервера и DNS указал 8.8.8.8

[koshev]

Да, решение с закрытием порта очень просится.
НО, тогда имхо получается забивание гвоздей микроскопом. Если подходить к проблеме более полно, то наверняка проблема сушествует не только с кешируюшими DNS, но и с теми DNS, которые держат зоны.
Кроме того, если указывать forwarders NS, в лёкгую можно нарваться на реестр госкомнадзора, в том числе и на гуглоднсах, а ведь завернуть запросы к ним на BRAS вышестоящего провайдера проще-простого. Танцевать с прокси/tor/vpn не хотелось, поэтому решил так.

[serega3907]

У вас кстати гугловские днс прописаны?

[koshev]

Глобально forwarders не записаны, записаны только определённые зоны.

[ArcFi]

Когда об этой беде узнал, решил, что самым простым вариантом будет не связываться вообще, оставив грабли провайдеру и регистратору.
Для работы удалённых корпоративных юзеров изначально планировался VPN, и от внешних DNS они зависели слабо.
Для себя позже пришло понимание объединить личные ресурсы через VPN на VPS, поэтому выводить DNS наружу так и не понадобилось.

[koshev]

Костыль, однако.
Я тут забыл отписаться...

(Нажмите, чтобы показать/скрыть)

В кратце:
Все запросы на порт сервера сбрасываю в отдельную цепочку - DNS
В цепочке DNS, Флудильщика, часто обращающегося на порт к примеру чаще 10 раз за 6 секунд, записываю в ipset, этот сет сразу же сбрасывается в цепочке INPUT. Ну и отмечаю в логе.
Тех других "хитрецов" которые не прошли, как явный флуд, направлю в цепочку BAD_DOMAINS, в котором разрешаю проходить пакетам к тем именам зон, которые указал в bind9, с помощью L7-фильтра. Остальные пакеты сбрасываются.

Код: (text) [Выделить]

ipset -N dns_bads hash:ip
iptables -t filter -N DNS
iptables -t filter -N BAD_DOMAINS
iptables -t filter -A INPUT -m set --match-set dns_bads src -j DROP
iptables -t filter -A INPUT -d my_dest_ip -p udp -m udp --dport 53 -j DNS
iptables -t filter -A INPUT -d my_dest_ip -p tcp -m tcp --dport 53 -j DNS
iptables -t filter -A DNS -m recent --set --name dns-spoof --mask 255.255.255.255 --rsource
iptables -t filter -A DNS -m recent --update --seconds 6 --hitcount 10 --name dns-spoof --mask 255.255.255.255 --rsource -j LOG --log-prefix "DNS Spoof: " --log-level 3
iptables -t filter -A DNS -m recent --update --seconds 6 --hitcount 10 --name dns-spoof --mask 255.255.255.255 --rsource -j SET --add-set dns_bads src
iptables -t filter -A DNS -j BAD_DOMAINS
iptables -t filter -A BAD_DOMAINS -m string --string "my_domain_one" --algo kmp --to 65535 -j ACCEPT
iptables -t filter -A BAD_DOMAINS -m string --string "mydomain_two" --algo kmp --to 65535 -j ACCEPT
iptables -t filter -A BAD_DOMAINS -m string --string "another_domain" --algo kmp --to 65535 -j ACCEPT
iptables -t filter -A BAD_DOMAINS -j DROPРаботает. Проблем не выявил.

[AnrDaemon]

А не проще запретить recursive lookup для внешки?

[koshev]

Проще, и это было сделано по открытию топика.
Просто дополнительно отсёк паразитные запросы на уровне netfilter.