Tag: ddos
DNS DDoS vs fail2ban
by admin on Mai.20, 2010, under Technik
Nachdem es immer mehr Hosts wurden, welche mit gefakten IP-Adressen meinen DNS Server genervt haben, bin ich irgendwie nicht mehr mit dem manuellen blocken per iptables nachgekommen. Ich habe deshalb auf dem DNS Server fail2ban installiert, welches das Logfile des Nameservers überwacht, und bei einer Überschreitung (der vorher eingestellten) Versuche per iptables automatisch für eine gewisse Zeit blockt, und mir eine eMail mit der IP und dem Whois-Query schickt:
fail2ban kann aber noch mehr: Es können für alle möglichen Dienste die Logfiles geprüft werden, um z.B. auch fehlgeschlagene SSH oder FTP Logins zu erkennen, und auch hier zu blocken.
Zum Nachlesen gibts hier was: http://www.debian-administration.org/article/Blocking_a_DNS_DDOS_using_the_fail2ban_package
DNS DDoS?
by admin on Mai.14, 2010, under Technik
Mir ist gerade durch Zufall aufgefallen, dass auf meinem privaten DNS Server die Queries stark angestiegen sind:
Die Anfragen kommen so gut wie alle von dieser IP: 91.202.63.129 und mit folgendem Query: query: . IN NS +
Ich konnte mir da erstmal keinen Reim drauf machen, also hab ich die IP erstmal mit iptables geblockt (iptables -D INPUT -s 91.202.63.129 -j DROP), und mich dann mal an die Google gemacht. Daraufhin habe ich folgendes gefunden:
It’s a forged request asking you to participate in a DDoS thats been going on since last Wedensday, it’s best if you firewall off your replies to those IP’s so you don’t participate in harming the innocent victims.
Quelle: http://groups.google.com/group/comp.protocols.dns.bind/browse_thread/thread/5cd9084a0a43abcd/b81aec0be38a886f
Nunja, so ganz schlau werde ich daraus nicht, mal sehen was die Googlesuche noch so hergibt. Dank IP-Tables ist jetzt aber erstmal Ruhe.
Nachtrag:
“The problem seems to kick in for DNS servers that arent rejecting the queries. Someone is channeling ye ‘ole smurfing methods.
They’re requesting a list of all DNS root servers. If the server don’t reject the query, a 17 byte query becomes a 50k response (or something like that) to the spoofed address.”
Das würde natürlich den Sinn erklären, wenn man mit einer gefälschten Adresse einen Nameserver anfragt, einen selbst die Anfrage nur einen 17byte Request kostet, aber der “Empfänger” der Abfrage mit einer 50k Müllantwort belastet wird.
