Warum sollten Hacker einen DNS-Server mit einem DoS angreifen?
Ich wache heute Morgen mit einem neu gestarteten Server auf. Der DNS-Server lief mit über 100 %. Nach ein wenig Arbeit habe ich fail2ban eingerichtet, um all diese Anfragen zu blockieren.
Die Anfragen selbst sind gültig, werden nur hundertmal pro Sekunde wiederholt. Sobald der Block viele (hundert) IPs erhalten hat, kann ich sehen, dass ich alle paar Stunden 1 Million UDP-Hits blockiere.
Ist das nur ein [D]DoS-Angriff? (Wahrscheinlich als dynamisch angesehen, da viele Computer beteiligt sind und sobald einer lange genug blockiert war, sieht es so aus, als würde er die Anfragen stoppen)
Die einzige andere Möglichkeit, die mir einfällt, ist, dass der Angreifer versucht, den DNS-Server zum Absturz zu bringen und beim Neustart Zugriff zu erhalten, oder den gesamten Computer zum Absturz bringt und versucht, Verbindungen zu anderen Diensten herzustellen. (dh falls Sie nicht wissen, wie Sie Ihre Firewall einrichten, bevor Sie Ihre Dienste starten)
Seit meinem letzten Firewall-Reset, hier sind meine Statistiken:
Zugriffe: 2.346.742
Anzahl der IPs: 473
Es geht schnell. Mehrere hundert Treffer pro Sekunde. Die Anzahl der IPs wächst jedoch nicht stark.
Antworten
Aus dem Kommentar von @Schroeder habe ich einige zusätzliche Suchen durchgeführt und viel mehr über diese Art von Angriff herausgefunden.
Ich war das Ziel!
Zunächst einmal sieht es so aus, als wäre ich das Ziel des Angriffs. Wieso den? Denn der DNS-Amplification-Angriff bedeutet, dass der Quellport der DNS-Anfragen auf 53 gesetzt wird. Dadurch ist es möglich, mein DNS zu zwingen, eine nicht angeforderte Antwort an einen anderen Server zu senden (siehe Grafik unten). Da ich weniger als 0,1 % solcher Zugriffe über diesen Port habe, glaube ich nicht wirklich, dass mein DNS für die Verstärkung verwendet wurde, sondern eher, dass es das Ziel war.
Wie funktioniert der Angriff?
Der Angreifer richtet einen Computer mit Software ein, die UDP-Pakete an einige zufällige DNS-Server sendet und nach einem Domänennamen fragt. Das Paket sieht normal aus, außer dass der Angreifer die IP-Adresse eines anderen Computers anstelle seiner IP-Adresse als Quelle angibt. Das Ergebnis ist, dass der DNS die Antwort an den falschen Computer sendet :
10.0.0.1 10.0.0.2 10.0.0.3
+------------+ +------------+ +------------+
| | | | | |
| Attacker +-->| Some DNS +-->| Me |
| | | | | |
+------------+ +--+---------+ +------------+
| ^
v |
+---------+--+ This step is not required, it happens if
| | your DNS is setup to accept recursive
| Master DNS | requests (which is not a good idea)
| |
+------------+
10.0.0.4
Im obigen Beispiel sollte die Anfrage des Angreifers 10.0.0.1 als UDP-Ursprungsadresse haben. Stattdessen ändert der Angreifer seine IP-Adresse mit 10.0.0.3. Wenn also der DNS bei 10.0.0.2 das UDP-Paket empfängt und bereit ist, eine Antwort zu senden, sendet er die Daten an 10.0.0.3.
Der Master-DNS der Domain wird verwendet, wenn der DNS bei 10.0.0.2 nichts über den abgefragten Domainnamen weiß.
WICHTIGER HINWEIS: Dies gilt für alle UDP-Dienste. DNS ist in Bezug auf die Verstärkung wahrscheinlich am schlechtesten, aber auch NTP kann zum Beispiel angegriffen werden.
Warum verifizieren Sie nicht einfach die Quelladresse?
Dies ist ab 10.0.0.2 nicht möglich, da UDP keine Erinnerung an die tatsächliche Quelle des Pakets hat.
Was möglich ist, ist, dass ISPs überprüfen, ob alle Pakete, die von einem bestimmten Computer ausgehen, die IP-Adresse dieses Computers haben. Einige tun es, denke ich, aber die meisten wahrscheinlich nicht. Es hat einen kleinen Einfluss auf die Geschwindigkeit ... was bei einer DNS-Verstärkung natürlich zum Lachen ist (die DNS-Verstärkung wirkt sich viel schlimmer auf das Internet aus als eine kleine Überprüfung der Ursprünge von UDP-Paketen).
Die andere Sache kann sein, dass ein Benutzer möglicherweise immer noch in der Lage ist, sich so mit dem Internet zu verbinden, dass er die ISP-Überprüfung umgeht. Ich weiß nicht, ob und/oder wie das möglich wäre, aber es würde mich nicht wundern, dass es möglich wäre.
Das ist eigentlich sehr problematisch, da der Ursprung solcher Angriffe schwer nachzuvollziehen ist und sie deshalb sicherlich noch immer massenhaft vorkommen.
Warum ist das ein DDoS?
Das Paket zum Anfordern eines DNS-Eintrags, was hier passiert, ist sehr klein, vielleicht 300 Bytes. Der Angreifer muss also nur ein kleines UDP-Paket senden.
Die Antwort kann jedoch mehrere Kilobyte an Daten umfassen. Insbesondere gibt es eine Domäne, die bei diesen Angriffen verwendet wird:
peacecorps.gov
und diese Domain gibt über 3 KB an Daten zurück! (Es definiert viele 'TXT'-Felder, die bei diesem Amplifikationsangriff verwendet werden.) Deshalb wird es Amplification Attack genannt.
Infolgedessen werden die Anfragen des Angreifers in etwa 10-mal größere Antworten umgewandelt und der angegriffene Computer (10.0.0.3) wird mit einer großen Anzahl ziemlich großer UDP-Pakete überschwemmt.
Hier zeige ich den resultierenden Eintrag in iptables
. Die erste Zahl stellt die Anzahl der Zugriffe auf meinen DNS-Computer nach etwa 40 Minuten dar (also über 10.000 Zugriffe pro Minute ...):
pkts bytes target prot opt in out source destination
61637 4376227 DROP udp -- eno1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 STRING match "|0a7065616365636f72707303676f76|" ALGO name bm TO 65535
Beachten Sie auch, wie die Zeichenfolge vollständig in Hexadezimalzahlen umgewandelt wurde.
Wäre eine HTTP-Anfrage nicht noch schlimmer?!
HTTP 0.9/1.0/1.1/2 verwendet TCP, das ein Zwei-Wege-Protokoll ist, und mit TCP kann keine Verstärkung erzeugt werden. dh TCP bricht ab, wenn Sie sich nicht zuerst richtig mit dem vollständigen Handshake verbunden haben.
HTTP/3 führt jedoch das QUIC -Protokoll ein, bei dem es sich um HTTP-über-UDP-Pakete handelt. Bisher habe ich noch nichts von größeren Problemen mit QUIC gehört, aber das Protokoll hat sich in den letzten 6-7 Jahren stark verändert und ist noch nicht weit verbreitet. Hier ist ein Artikel über die Tatsache, dass QUIC Funktionen eingebaut hat, um Verstärkungsangriffe zu verhindern, also besteht Hoffnung, dass man sich darum gekümmert hat.
Einige Leute sprechen davon, HTTP zur Abfrage von Domänennamen zu verwenden. (DoH – Domain über HTTP). Hoffentlich wird das nicht mit QUIC umgesetzt...
Wie kann ich das Problem beheben?
Die Verstärkung erfolgt, weil Ihr DNS so eingerichtet ist, dass Anfragen von Domainnamen akzeptiert werden, die Sie nicht kontrollieren (dh Domains, deren Eigentümer Sie nicht sind).
BIND hat eine Option, die eine Verstärkung erlaubt, was im DNS-Jargon Rekursion genannt wird. Diese Funktion ist jetzt standardmäßig deaktiviert, aber Sie haben sie möglicherweise (aus Versehen?) aktiviert.
Hier ist die falsche Einstellung :
allow-recursion { any; };
Was Sie wollen, ist die Verwendung der richtigen Einstellungen :
trusted-servers { 192.0.2.4; } // list all your trusted servers
allow-recursion { trusted-servers; };
Dadurch lehnt Ihr Server automatisch alle derartigen Anfragen ab. Wenn dies nicht der Fall ist peacecorps.gov
und Sie eine solche Anfrage erhalten, wird BIND genau dort anhalten und eine Notiz über die abgelehnte Anfrage in Ihre DNS-Protokolle schreiben.
Kann ich die IP für diese Anfragen blockieren?
Ja. Ich habe damit begonnen, weil mein Server mit weit über 100 % CPU-Zeit lief. Es ist jedoch möglicherweise nicht ratsam, dies zu tun. Aus dem obigen Bild können Sie sehen, dass Ihr DNS-Server zwischen einem Angreifer und einem Opfer sitzt. Wenn Sie die Quell-IP-Adresse blockieren, blockieren Sie nicht die IP des Angreifers, sondern die des Opfers. Das bedeutet, dass Sie das Opfer tatsächlich daran hindern, Ihre Domainnamen zu sehen und legitime Anfragen zu stellen. Das ist wahrscheinlich nicht das, was Sie wollen!
Zuerst habe ich eine Protokollnachricht von meiner Firewall generiert. Wenn ich in kurzer Zeit (5 Sek.) 5 oder mehr Anfragen an Port 53 (UDP) von derselben IP-Adresse erkennen würde, würde ich die IP-Adresse blockieren. Dazu habe ich verwendet fail2ban
.
Zuerst habe ich einen Filter, der die Links mit UDP und Port 53 als Ziel erkennt:
# Filter: /etc/fail2ban/filter.d/named-fast-requests.conf
[Definition]
failregex = \sIN=[a-z0-9]+ .* SRC=<HOST> .* PROTO=UDP .* DPT=53\s
Zweitens habe ich ein Gefängnis, das die anderen Parameter angibt:
# Jail: /etc/fail2ban/jail.d/named-fast-requests.conf
[named-fast-requests]
enabled = true
filter = named-fast-requests
action = named-action[scheme=all,period=year,reason=named fast requests]
logpath = /var/log/iptables/iptables.log
maxretry = 5
findtime = 5
bantime = 1036800
Der Hauptpunkt hier sind die maxretry
und findtime
die auf 5 Mal in 5 Sekunden oder weniger eingestellt werden. Wenn das passiert, blockiere ich die <HOST>
.
Sie werden die Aktion mit Ihrem eigenen Ding aktualisieren wollen. Ich verwende hier mein eigenes iplockTool. Der Befehl, den ich in der Aktion verwende:
actionban = /usr/sbin/iplock -s named -b <ip>
Standardmäßig verwendet fail2ban iptables
direkt. Durchsuchen Sie ihre Aktionen, um zu sehen, wie es gemacht wird.
Seien Sie nicht die Quelle der Verstärkung
Sie sollten Anfragen blockieren, bei denen der Quell-UDP-Port kleiner als 1024 ist. Diese sind nicht gültig. Wenn Sie einen Server anbieten, ist Port 53 ein Zielport, nicht eine Quelle.
iptables -I INPUT 123 -i eth0 -p udp -m udp --sport 0:1023 -j DROP
ACHTUNG: Ersetzen Sie die Position (123) durch die richtige Nummer!
Diese Regel besagt, dass für jedes eingehende UDP-Paket auf eth0
, das einen Quellport zwischen 0 und 1023 hat, das Paket verworfen wird. Dadurch wird verhindert, dass jemand Ihren DNS-Server zur Verstärkung verwendet. Es schützt Ihren eigenen Server jedoch nicht vor Verstärkung durch andere. Beachten Sie, dass Sie selbst mit der richtigen allow-recursion
Einrichtung einen Verstärkungsangriff nicht verhindern würden, wenn der Angreifer einen Ihrer Domänennamen für den Angriff richtig auswählt.
Hinweis: Wenn Sie einen anderen Nameserver angeben, um Domänennamen auf Ihrem Computer aufzulösen, möchten Sie diese Verbindungen möglicherweise öffnen, bevor Sie alles von Port 0 bis 1023 blockieren. Dies wäre etwa so:
iptables -I INPUT 123 -i eth0 -p udp -m udp --sport 53 -s 8.8.8.8 \
-d <your-static-ip> -j ACCEPT
Dies sind die zurückgegebenen Daten vom Nameserver 8.8.8.8, die Sie wahrscheinlich erhalten möchten. Es ist unwahrscheinlich, dass Ihr Provider oder ein anderer offizieller Nameserver die direkte Quelle eines UDP-Angriffs ist. Wenn Sie keine statische IP-Adresse haben, müssen Sie die -d
Option nicht angeben.
Es ist jedoch wahrscheinlich viel besser, die ESTABLISHED
Funktion zu verwenden, die jetzt für UDP-Nachrichten verfügbar ist (das gibt es schon eine Weile, aber ich erinnere mich an eine Zeit, als das nicht verfügbar war ...):
iptables -I INPUT 123 -i eth0 -p udp -m state \
--state ESTABLISHED,RELATED -m udp -d <your-static-ip> -j ACCEPT
Das bedeutet, dass Sie automatisch Antworten von Ihrem Domain-Nameserver-Anbieter akzeptieren, da die Firewall weiß, dass Sie eine Anfrage gesendet haben und Antworten akzeptieren möchten. Diese Regel muss vor der DROP
obigen Regel stehen.
Lassen Sie unerwünschte Anfragen frühzeitig fallen
peacecorps.gov
Offensichtlich will niemand , dass BIND all diese Anfragen akzeptiert . Sie können diese tatsächlich direkt in Ihrer Firewall blockieren. Dies funktioniert, weil UDP-Pakete nicht verschlüsselt werden, sodass der Domänenname sichtbar ist.
Hier ist eine Regel, die man verwenden kann, um diese Anfragen nach Domainnamen zu blockieren:
sudo iptables -I INPUT 123 -i eno1 -p udp -m udp --dport 53 \
-m string --hex-string "|0A|peacecorps|03|gov|" --algo bm -j DROP
Wenn Ihr DNS eine Domain oder Subdomain einschließlich "peacecorps.gov" hat, sollte es diese iptables
Regel natürlich nicht verwenden. Für die meisten von uns, obwohl es selten sein sollte.
Mit der --hex-string
Option können Sie eine Zeichenfolge angeben. Die Art und Weise, wie es im UDP-Paket definiert ist, verwendet eine Form von P-String (Größe + Daten). Da "peacecorps" 10 Zeichen lang ist, setzen wir 0x0A direkt davor. Auch hier besteht „gov“ aus drei Buchstaben, also verwenden wir 0x03. Wenn wir den String „peacecorps.gov“ verwenden würden, würde dies nicht funktionieren, da der Punkt nicht mit dem 0x03-Byte übereinstimmen würde. Die erste Größe ist jedoch optional (obwohl Sie mit allem übereinstimmen würden, was gleich aussieht, wie z. B. "bestpeacecorps").
Eine solche Regel erspart Ihrem Domain Name Service eine Menge völlig unerwünschten Datenverkehrs.
Update: Obwohl der Angriff etwa zwei Wochen, nachdem ich meine Frage gepostet hatte, gestoppt wurde, tritt das Problem „peacecorps.gov“ immer noch etwa 10 Mal am Tag auf.
Quelle:https://defragged.org/2020/05/20/tips-and-tricks-blocking-dns-requests-via-iptables/
Debugging Ihres DNS
Um zu sehen, welche Abfrage Ihr DNS-Server erhält und beantwortet, können Sie die folgenden Befehle in Ihrer Konsole ausführen:
sudo rndc querylog
Schauen Sie sich jetzt die Protokolle an, normalerweise hier:
less /var/log/named.log
Sehen Sie sich den unteren Rand an (klicken Sie Gin less
) und Sie sollten beginnen, Abfragen von Remote-IPs zu sehen. Die Protokolle enthalten den überprüften Domänennamen. Dies ist sehr praktisch, insbesondere wenn Sie es verpasst haben, einige Ihrer eigenen Domainnamen in Ihr sekundäres oder tertiäres DNS einzugeben.