Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

DDos angrep mot UDP 53 (DNS)


Anbefalte innlegg

En bekjent har fått denne servert av CanalDigital:

 

 

Vi har merket at på din internettlinje har det kommet inn en DDos angrep.

Dette har skjedd pga at du har en DNS server (UDP 53) åpen for angrep.
Du må stoppe programmet/tjenesten du har på pc'n ang dette.

 

men så vidt jeg vet er jo UDP 53 åpen nettopp for å kunne ha kontakt med DNS server. Canal Digital skriver at DDOS angrepet kom utenifra, men ber om at eieren av nettet stenger program som bruker porten og eventuelt ser etter virus. Er det bare jeg som misforstår, eller er CanalDigital på jordet her?

 

hvis UDP 53 stenges vil jo nettverket miste DNS?

 

 

Er forresten et hjemmenettverk uten noen servere, kun Modem - Ruter - Bruker pc'er.

Lenke til kommentar
Videoannonse
Annonse

Problemet er at noe på nettverket hans fungerer som en DNS-server, og svarer på DNS-forespørsler over internettlinja.

 

* Har han en ruter, eller har han koblet en enkelt PC rett til modemet?

* Hvilken ruter har han?

 

Det er første lag3-enhet på nettverket som enten fungerer som DNS-server, eller som portforwarder UDP port 53 til en maskin på innsiden av ruteren som svarer opp DNS-forespørsler.

Lenke til kommentar

Problemet er at noe på nettverket hans fungerer som en DNS-server, og svarer på DNS-forespørsler over internettlinja.

 

* Har han en ruter, eller har han koblet en enkelt PC rett til modemet?

* Hvilken ruter har han?

 

Det er første lag3-enhet på nettverket som enten fungerer som DNS-server, eller som portforwarder UDP port 53 til en maskin på innsiden av ruteren som svarer opp DNS-forespørsler.

 

Ruteren er en Asus RT-56U, jeg skal inn på den og sjekke om det ligger noe forwarding, men er ganske sikker på at det ikke er endret noe inne på ruteren.

Lenke til kommentar

Altså, CD ber om at du blokker innkommende forespørsler. Ikke utgående. Ingen tjenester som slutter å fungere av det(så fremt du da ikke kjører din egen nameserver for domener du eier, noe det ikke høres ut som).

 

Så det kan løses ved å blokkere UDP 53 i ruteren? og la TCP stå åpen?

Lenke til kommentar

Så det kan løses ved å blokkere UDP 53 i ruteren? og la TCP stå åpen?

DNS switcher over til tcp når spørringen ikke lenger passer inn i én udp pakke. Så nei, dette er ikke relatert til tcp / udp.

 

Det du skal er som nevnt over her, blokkere all trafikk inn på port 53 på wan interfacet. Hvis du ikke har portforwarding som er nødvendig, kan du blokkere all innkommende trafikk på wan interfacet.

Lenke til kommentar

Nå er det nok snakk om at han har en DNS server som svarer på forespørsler som ikke er hans domene.

For eksempel en angriper sender en pakke til hans DNS server hvor han forespør IP'en til google.com og en del andre nettsider, og setter svar addressen på forespørselen til nettsiden angriperen vil DDoSe.

 

Det som skjer er at DNS serveren er feilkonfigurert, den går da og forespør IP'en til alle domenene som er forespurt og sender svaret til addressen angriperen har satt opp, resultatet er at nettsiden blir oversvømt med svar.

Så her burde han sjekke sin DNS server og sette denne til å kun svare på sitt domene, altså om det kommer en forespørsel til pc.meg.com så er DNS serveren hans kun ansvarlig for svar relatert til domenet meg.com og ikke google.com, forespørsler for google.com skal da forbli ubesvart.

Lenke til kommentar

Det skal allerede være blokkert. All innkommende trafikk skal være blokkert.

Sjekk først at porten ikke er åpnet, og at det ikke satt opp forwarding som foreslått over.

Du kan feks scanne den eksterne IPen hans her: http://mxtoolbox.com/PortScan.aspxfor å se om porten er åpen.

 

 

Her er da altså ståen:

nYSBNxR.jpg

 

Venter fortsatt på tilgang til ruteren, så får vi se hvordan det ser ut.

Endret av Sampson
Lenke til kommentar

 

Det skal allerede være blokkert. All innkommende trafikk skal være blokkert.

Sjekk først at porten ikke er åpnet, og at det ikke satt opp forwarding som foreslått over.

Du kan feks scanne den eksterne IPen hans her: http://mxtoolbox.com/PortScan.aspxfor å se om porten er åpen.

 

 

Her er da altså ståen:

nYSBNxR.jpg

 

Venter fortsatt på tilgang til ruteren, så får vi se hvordan det ser ut.

 

 

en bør rydde litt i oppsettet på den routeren, den svarer på dns fra internett og har administrasjonssiden for routeren tilgjengelig over internett

http://82.164.97.136/

 

Tronds-MBP:~ trrunde$ dig @82.164.97.136 vg.no +short

195.88.54.16

195.88.55.16

Tronds-MBP:~ trrunde$

Lenke til kommentar

Det eneste jeg ikke forstår er at om han ikke kjører en DNS server på innsiden av nettverket og forwarder en port, hvordan i pokkern har han fått routeren selv til å svare på DNS forespørsler utenfra?

Så vidt jeg vet er det ikke noe man får til på orginal firmware, dog er det en ASUS router som IKKE er oppdatert så kan jeg skjønne hvordan dette har skjedd, de har en remote exploit svakhet som kan utnyttes fra utsiden uten innlogging, hvor routeren da kjører absolutt alt av kommandoer og kan da gjøres om til å svare på DNS forespørsler og bli en "bot" på nettet.

Lenke til kommentar

 

Så vidt jeg vet er det ikke noe man får til på orginal firmware, dog er det en ASUS router som IKKE er oppdatert så kan jeg skjønne hvordan dette har skjedd, de har en remote exploit svakhet som kan utnyttes fra utsiden uten innlogging, hvor routeren da kjører absolutt alt av kommandoer og kan da gjøres om til å svare på DNS forespørsler og bli en "bot" på nettet.

 

Men CD har ikke sagt noe om at nettet blir brukt som botnet, de skrev spesifikt at Ddos angrepet kom INN, ikke ut. Så jeg kan vel se bort ifra botnet og virus? Får ikke fysisk tilgang på de pc'ene som brukes der siden jeg ikke bor i nærheten lenger.

Lenke til kommentar

 

 

Så vidt jeg vet er det ikke noe man får til på orginal firmware, dog er det en ASUS router som IKKE er oppdatert så kan jeg skjønne hvordan dette har skjedd, de har en remote exploit svakhet som kan utnyttes fra utsiden uten innlogging, hvor routeren da kjører absolutt alt av kommandoer og kan da gjøres om til å svare på DNS forespørsler og bli en "bot" på nettet.

 

Men CD har ikke sagt noe om at nettet blir brukt som botnet, de skrev spesifikt at Ddos angrepet kom INN, ikke ut. Så jeg kan vel se bort ifra botnet og virus? Får ikke fysisk tilgang på de pc'ene som brukes der siden jeg ikke bor i nærheten lenger.

 

 

Scenarioet jeg tenker her er ikke klassisk botnet, hvor man scammer annonser eller lignende, men at de bruker for eksempel ASUS exploitet for å ta over routeren og deretter benytter den til DDoS angrep med UDP basert DNS, med forfalsket mottaker / avsender.

Og svaret du sender til avsenderen er det som er DDoSen, hadde det vært TCP istedet for UDP så hadde det aldri gått igjennom da stakkaren som står som mottaker ikke gjenkjenner forespørselen og svarer dermed ikke.

For CD så vil de ikke kunne se om du er i botnet eller ikke, alt de ser er store mengder UDP baserte DNS pakker som reiser til en mottaker som klager over angrep.

 

Men som sagt, er det en ASUS router det er snakk om som ikke har vært patchet, så er scenarioet sannsynlig, og fiksen er da rett og slett å nullstille routeren og oppdatere firmwaren, og deretter sjekke om portene er åpene og om den svarer på DNS forespørsler.

 

Lenke til kommentar
  • 2 uker senere...

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...