Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: UDP Flood на порт DNS.  (Прочитано 3822 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Онлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
UDP Flood на порт DNS.
« : 04 Ноябрь 2014, 15:30:43 »
Доброго времени. Где-то с неделю стал подтупливать кеширующий DNS.
Ну ладно, смотрю конфиги, мой косяк, сделал рекурсию и кеш для всех, исправил, запретил кеш, затем (перебдел) дополнительно записал параметры rate-limit, стало полегче и... в лог посыпалось
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)
Хорошо, защитился при момощи ipset+iptables, запретил рекурсию.
Код: Text
  1. ipset -N dns_bads hash:ip
  2. iptables -N DNS
  3. iptables -I INPUT 3 -d $NS_BIND_ADDR -p udp -m udp -dport 53 -j DNS
  4. iptables -A INPUT -m set --match-set dns_bads src -j DROP
  5. iptables -A DNS -m recent --set --name dns-spoof --mask 255.255.255.255 --rsource
  6. iptables -A DNS -m recent --update --seconds 60 --hitcount 10 --name dns-spoof --mask 255.255.255.255 iptables --rsource -j LOG --log-prefix "DNS Spoof: " --log-level 3
  7. iptables -A DNS -m recent --update --seconds 60 --hitcount 10 --name dns-spoof --mask 255.255.255.255 --rsource -j SET --add-set dns_bads src
Смотрю сниффером:
(Нажмите, чтобы показать/скрыть)
Вопрос такой. Это собственно зачем? Какая цель всего этого UPD-флуда?
Общий конфиг опций (другие конфиги приводить не стал, если нужно выложу)
(Нажмите, чтобы показать/скрыть)
Что конкретно лишнее и|или что еще можно предпринять?
« Последнее редактирование: 04 Ноябрь 2014, 18:00:11 от koshev »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net
Re: UDP Flood на порт DNS.
« Ответ #1 : 04 Ноябрь 2014, 15:36:40 »

Онлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #2 : 04 Ноябрь 2014, 16:48:01 »
О спасибо, принцип понятен.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Онлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #3 : 07 Ноябрь 2014, 12:24:09 »
Пробую отловить флуд вида
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)
Особенность запросов такова, что все они имеют вид A? aaa.bbb.ccc.ddd.[eee] с разных адресов источника, где ccc всегда часть имени домена 2-го либо 3-го уровня. По этому признаку отлавливаю "плохие" запросы.
С HEX связываться пока не стал, предполагая, что вполне себе может поменяться длинна запроса и его тип, но вот, что делать, если запрос A? поменяет свою форму, пока не решил. Может быть кто-нибудь подскажет лучшее решение?
« Последнее редактирование: 08 Ноябрь 2014, 11:59:12 от koshev »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн serega3907

  • Активист
  • *
  • Сообщений: 661
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #4 : 07 Ноябрь 2014, 12:49:18 »
Я наверно плохо в этом разбираюсь, но нельзя закрыть входящие UDP 53 порт из интернет?
У меня флуд был на микротике, когда его делал в качестве DNS-сервера и DNS указал 8.8.8.8
« Последнее редактирование: 07 Ноябрь 2014, 12:51:20 от serega3907 »

Онлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #5 : 07 Ноябрь 2014, 14:11:13 »
Да, решение с закрытием порта очень просится.
НО, тогда имхо получается забивание гвоздей микроскопом. Если подходить к проблеме более полно, то наверняка проблема сушествует не только с кешируюшими DNS, но и с теми DNS, которые держат зоны.
Кроме того, если указывать forwarders NS, в лёкгую можно нарваться на реестр госкомнадзора, в том числе и на гуглоднсах, а ведь завернуть запросы к ним на BRAS вышестоящего провайдера проще-простого. Танцевать с прокси/tor/vpn не хотелось, поэтому решил так.
« Последнее редактирование: 07 Ноябрь 2014, 15:24:12 от koshev »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн serega3907

  • Активист
  • *
  • Сообщений: 661
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #6 : 07 Ноябрь 2014, 15:20:33 »
У вас кстати гугловские днс прописаны?

Онлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #7 : 07 Ноябрь 2014, 15:25:11 »
Глобально forwarders не записаны, записаны только определённые зоны.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net
Re: UDP Flood на порт DNS.
« Ответ #8 : 07 Ноябрь 2014, 17:13:12 »
Когда об этой беде узнал, решил, что самым простым вариантом будет не связываться вообще, оставив грабли провайдеру и регистратору.
Для работы удалённых корпоративных юзеров изначально планировался VPN, и от внешних DNS они зависели слабо.
Для себя позже пришло понимание объединить личные ресурсы через VPN на VPS, поэтому выводить DNS наружу так и не понадобилось.

Онлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #9 : 20 Февраль 2016, 23:16:35 »

Костыль, однако.
Я тут забыл отписаться...
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 20 Февраль 2016, 23:18:15 от koshev »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26062
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #10 : 21 Февраль 2016, 03:33:29 »
А не проще запретить recursive lookup для внешки?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Онлайн koshev

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: UDP Flood на порт DNS.
« Ответ #11 : 21 Февраль 2016, 12:12:52 »
Проще, и это было сделано по открытию топика.
Просто дополнительно отсёк паразитные запросы на уровне netfilter.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

 

Страница сгенерирована за 0.074 секунд. Запросов: 24.