Attacke auf Port 53 ... Was tun?

[mipo]

Hallo zusammen,

ich "leide" zur Zeit unter einer Attacke aus dem Internet über deren Lösung ich relativ ratlos bin. Der Traffic kommt von den unterschiedlichsten IP Adressen, zielen allerdings (auf allen von mir beobachteten) Traces auf Port 53 ab.

a) Was kann man tun?
b) Wie lange wird soetwas anhalten und vor allem was wird der Auslöser
sein. Ich habe eine feste IP ...
c) Wie nennt man das Tool und das Verfahren mit dem man derartigen
Schaden anrichten kann?


Ein Auszug aus dem Trace:

[IP-Router] 2005/11/22 19:35:29,830
IP-Router Rx (VIA):
DstIP: 192.168.2.4, SrcIP: 204.184.120.17, Len: 65, TOS: ----
Prot.: UDP (17), DstPort: 53, SrcPort: 2376
Route: LAN Tx

[IP-Router] 2005/11/22 19:35:29,830
IP-Router Rx (VIA):
DstIP: 192.168.2.4, SrcIP: 84.175.166.13, Len: 60, TOS: ----
Prot.: UDP (17), DstPort: 53, SrcPort: 1241
Route: LAN Tx

[IP-Router] 2005/11/22 19:35:29,840
IP-Router Rx (VIA):
DstIP: 192.168.2.4, SrcIP: 69.139.243.145, Len: 54, TOS: ----
Prot.: UDP (17), DstPort: 53, SrcPort: 4266
Route: LAN Tx

[IP-Router] 2005/11/22 19:35:29,840
IP-Router Rx (VIA):
DstIP: 192.168.2.4, SrcIP: 66.69.192.39, Len: 57, TOS: ----
Prot.: UDP (17), DstPort: 53, SrcPort: 4100
Route: LAN Tx

[IP-Router] 2005/11/22 19:35:29,850
IP-Router Rx (VIA):
DstIP: 192.168.2.4, SrcIP: 209.88.15.186, Len: 68, TOS: ----
Prot.: UDP (17), DstPort: 53, SrcPort: 2347
Route: LAN Tx

[IP-Router] 2005/11/22 19:35:29,850
IP-Router Rx (VIA):
DstIP: 192.168.2.4, SrcIP: 24.27.223.227, Len: 55, TOS: ----
Prot.: UDP (17), DstPort: 53, SrcPort: 3114
Route: LAN Tx

[IP-Router] 2005/11/22 19:35:29,850
IP-Router Rx (VIA):
DstIP: 192.168.2.4, SrcIP: 216.130.110.166, Len: 61, TOS: ----
Prot.: UDP (17), DstPort: 53, SrcPort: 38706
Route: LAN Tx






Bin für jeden hilfreichen Tip dankbar!

MfG Michael

[backslash]

Hi mporemski,

wie wäre es, wenn du den Port 53 aus dem Port-Forwarding herausnimmst - oder hast Du auf der 192.168.2.4 einen DNS-Server laufen, der von aussen erreicht werden muß?

Beim Port-Forwarding sollte man sowieso darauf achten welche Ports man weiterleitet und nicht einfache der Bequemlichkeit halber alles aufmachen...


Gruß
Backslash

[mipo]

Hi mporemski,

wie wäre es, wenn du den Port 53 aus dem Port-Forwarding herausnimmst - oder hast Du auf der 192.168.2.4 einen DNS-Server laufen, der von aussen erreicht werden muß?

Beim Port-Forwarding sollte man sowieso darauf achten welche Ports man weiterleitet und nicht einfache der Bequemlichkeit halber alles aufmachen...


Gruß
Backslash

Hallo Backslash,

vielen Dank für Deine Info ... Ja, ich habe nur die Ports geöffnet die auch wirklich benötigt werden. Ich betreibe einen Primary DNS Server auf der 192.168.2.4 ...

Weist Du welche Art von Attacke hierfür zuständig ist? Ich habe, wenn ich den Port sperre ~ 8000 Byte/s Traffic, ansonsten in Ruhe 12000 Byte/s (lt. Lanmonitor) auf der Leitung. Wohlgemerkt "Leerlauf" ...

MfG Michael

[eddia]

Hallo Michael,

Ich betreibe einen Primary DNS Server auf der 192.168.2.4 ...

Mal ganz dumm gefragt: Wenn Du den Dienst DNS öffentlich anbietest - warum wunderst Du Dich darüber, dass er genutzt wird?

Weist Du welche Art von Attacke hierfür zuständig ist?

Warum immer gleich eine Attacke vermuten. Schau Dir einfach mal den Inhalt der DNS-Anfragen an.

Gruß

Mario

[mipo]

Hallo Michael,

Ich betreibe einen Primary DNS Server auf der 192.168.2.4 ...

Mal ganz dumm gefragt: Wenn Du den Dienst DNS öffentlich anbietest - warum wunderst Du Dich darüber, dass er genutzt wird?

Weist Du welche Art von Attacke hierfür zuständig ist?

Warum immer gleich eine Attacke vermuten. Schau Dir einfach mal den Inhalt der DNS-Anfragen an.

Gruß

Mario

Hallo Mario,

es ist eine Attacke ... oder wie würdest Du TAUSENDE von DNS Anfragen auf eine kleine, geschäftlich eingesetzte Präsenz nennen? Ich betreibe, wegen VoIP einen Inalp SmartNode 1400 eigentlich als Router. Das Ding steigt alle 10 Min. mit einem Reset aus ... Gemessen habe ich natürlich mir einem LANCOM 1611, aus dem stammen auch die Traces ...

Also gehen wir mal von einer Attacke aus, was kann man dagegen tun?

MfG Michael

[eddia]

Hallo Michael,

es ist eine Attacke ... oder wie würdest Du TAUSENDE von DNS Anfragen auf eine kleine, geschäftlich eingesetzte Präsenz nennen?

Du hast auf meine 'dumme' Frage keine Antwort gegeben. Andere Betreiber von öffentlichen DNS Servern sprechen auch nicht von einer Attacke, nur weil da tausende von DNS Anfragen pro Sekunde eingehen.

Du musst ja einen bestimmten Grund haben, DNS öffentlich über Dein System anzubieten.

Also gehen wir mal von einer Attacke aus, was kann man dagegen tun?

Wie schon gesagt: Schau in die Anfragen auf den DNS. Eventuell gibt es ja ein Problem bei irgendeinem DNS-Server für eine Domain, welcher Anfragen für Subdomains irrtümlich auf Deine öffentliche IP weiterleitet.

Gruß

Mario

[mipo]

Hallo Michael,

es ist eine Attacke ... oder wie würdest Du TAUSENDE von DNS Anfragen auf eine kleine, geschäftlich eingesetzte Präsenz nennen?

Du hast auf meine 'dumme' Frage keine Antwort gegeben. Andere Betreiber von öffentlichen DNS Servern sprechen auch nicht von einer Attacke, nur weil da tausende von DNS Anfragen pro Sekunde eingehen.

Du musst ja einen bestimmten Grund haben, DNS öffentlich über Dein System anzubieten.

Also gehen wir mal von einer Attacke aus, was kann man dagegen tun?

Wie schon gesagt: Schau in die Anfragen auf den DNS. Eventuell gibt es ja ein Problem bei irgendeinem DNS-Server für eine Domain, welcher Anfragen für Subdomains irrtümlich auf Deine öffentliche IP weiterleitet.

Gruß

Mario

Hallo Mario,

nun zugegeben, habe meine Antwort auf Deine Frage des "öffentlichen" DNS Servers schon als selbsterklärend eingeschätzt. Nun ja, ich habe einen Web/Mail und dementsprechend DNS Server (für Subdomains usw.) in meinem Netz stehen. Im Moment habe ich den Port 53 (TCP und UDP) geschlossen, doch der Traffic hält auf dem Interface nahezu unvermindert an. Aus diesem Grund nannte ich es Anfangs "Attache" abgeleitet aus dem Begriff "denial-of-service Attack" ...

Ich hoffe es ist ein wenig klarer. Irgendeine Idee was man dagegen tun kann?

MfG MIchael

[eddia]

Hallo Michael,

Irgendeine Idee was man dagegen tun kann?

Falls es ein Angriff ist: Gar nichts, außer Deinen Router vom Netz zu nehmen.

Aber ich hatte es doch schon gesagt. Sieh in die DNS-Anfragen nach, für welche Domains dort Anfragen eintreffen. Falls dort Anfragen für nicht von Dir gehostete Domains eintreffen, frag einfach mal den admin der übergeordneten Domain, ob er sich bei der Konfiguration seiner Zonendatei vertan hat.

Gruß

Mario

[mipo]

Hallo Michael,

Irgendeine Idee was man dagegen tun kann?

Falls es ein Angriff ist: Gar nichts, außer Deinen Router vom Netz zu nehmen.

Aber ich hatte es doch schon gesagt. Sieh in die DNS-Anfragen nach, für welche Domains dort Anfragen eintreffen. Falls dort Anfragen für nicht von Dir gehostete Domains eintreffen, frag einfach mal den admin der übergeordneten Domain, ob er sich bei der Konfiguration seiner Zonendatei vertan hat.

Gruß

Mario

Hallo Mario,

habe erstmal den Port 53 im LANCOM gesperrt Somit bleibt die Kiste wenigstens am Netz und ist noch administrierbar (schläft nämlich ansonsten ein ) ...

Ich habe mal die Logs des DNS Servers genau kontrolliert. Du hast Recht, sind lauter reguläre Domainanfragen. ... Wie würdest Du vorgehen, wie kann man denjenigen ausfindig machen, der in seinem Zonenfile vielleicht einen Fehler gemacht hat.

MfG Michael

[eddia]

Hallo Michael,

Wie würdest Du vorgehen, wie kann man denjenigen ausfindig machen, der in seinem Zonenfile vielleicht einen Fehler gemacht hat.

Erst mal schauen, ob das Problem wirklich daran liegt. Dazu ermittelst Du per nslookup, ob Dein DNS Server für die angefragte Domain als autoritativer Server eingetragen ist:

nslookup -querytype=ns <angefragte domain>

Falls bei den IPs für die aufgelisteten Nameserver Deine öffentliche IP auftaucht, ermittelst Du per whois den Verantwortlichen. Gibts auch per Webinterface:

http://www.iks-jena.de/cgi-bin/whois

Dort gibst Du einfach den angefragten Domainnamen ein. Der zutreffende Kontakt ist dann unter tech-c aufgeführt.

Gruß

Mario

[mipo]

Hallo Mario,

hat sich doch herausgestellt, das es ein Virus/Wurm ist.

http://securityresponse.symantec.com/re ... .x@mm.html

Mein primary DNS Server steht in der Liste der für die Namesauflösung benutzen DNS Server ( ... Nun ja, der DNS Server ist im Moment erstmal deaktiviert, bleibt zu hoffen, das der Wurm bald besiegt ist.

Viele Grüße und nochmals vielen Dank!

Michael

[eddia]

Hallo Michael,

hat sich doch herausgestellt, das es ein Virus/Wurm ist. Sad

http://securityresponse.symantec.com/regio....x@mm.html

welcher von den aufgelisteten ist es?

Du musst ja einen ziemlich beliebten DNS-Server haben, dass ausgerechnet Deiner mit 'ausgewählt' wurde.

Gruß

Mario

[mipo]

Hallo Michael,

hat sich doch herausgestellt, das es ein Virus/Wurm ist. Sad

http://securityresponse.symantec.com/regio....x@mm.html

welcher von den aufgelisteten ist es?

Du musst ja einen ziemlich beliebten DNS-Server haben, dass ausgerechnet Deiner mit 'ausgewählt' wurde.

Gruß

Mario

Hallo Mario,

war der "W32.Sober.X@mm" Wurm. Mein DNS Server "war" die 194.231.195.79 ... Habe seit Dienstag eine andere IP und habe den DNS Server ersteinmal zu meinem Domain Anbieter verlagert. War eh nicht mehr erforderlich einen eigenen DNS Server zu betreiben, da der Provider mittlerweile auch zusätzliche Wildcard und andere DNS Einträge zuläßt (mehrere MX usw.)

In 1 Stunde ~800.000 DNS Anfragen, das hatte es Und der LANCOM 1611 wurde zwar ziemlich langsam, aber er hält durch *freu* ... Die anderen ... siehe oben ... Beste Werbung für die LANCOM Fangemeinde!

Viele Grüße
Michael