Author |
Message |
|
Post subject: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 12:20 #106338
|
|
Majster
Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
|
|
Dnes ma presviedcal admin zo Satra, ze ich zakaznici, ktorych servisujem flooduju ich dnska nezmyselnymi poziadavkami na neexistujuce domeny.
Vsetky IP, ktore si na blacklistoch maju spolocne to, ze gw je RB750, ako som pozeral s verziami od 4 do 5.
V telefone mi tvrdil, ze u inych zakaznikoch pomohla vymena routra a ze trafik videl aj vtedy ked som fyzicky odpojil celu LANku, takze podla neho to robi samotny router.
Na routroch som nastavil navyse uz davnejsie google a opendns servre a aj tak tvrdi, ze neustale vidi traffic na ich dnska, Ja z lanky cez torch nic nevidim a pride mi divne, zeby ma mali Mikrotiky nejaku dieru cez, ktoru by takto vedeli floodovat dns ISP.
Stretol som sa niekto s niecim takym? Nejde mi do hlavy, zeby nieco existovalo, ved by sa to davno prevalilo, navyse mam RB750 aj u inych zakaznikov s verejnymi IP a ISP a tam nikto nic nehlasil. |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 13:22 #106339
|
|
Guru
Joined: Júl 14, 2005
Posts: 1591
|
|
podla mna floodovat nemozu pretoze im stale nechodi pripojenie
satro je firma ako z ineho sveta... mame od nich zaloznu linku v galante.. a pomer vypadkov nasho internetu k satru je asi 0:123
ale ked ich clovek upozorni ze nieco tam maju silne nedorisene.. tak je vsetko v najvacsom poriadku |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 16:00 #106340
|
|
Guru
Joined: Jan 24, 2004
Posts: 1685
|
|
zaznamenal som dva divne podobne pripady
1) RB co spravuje nejaky tipek z lightstormu u jedneho nasho pripojeneho klienta- vraj je vsetko OK ale lezie cez ten RB (neviemaky) stale sypacka na port 53
2) kamarat ma nejaku velku telku sony. tiez sa daco od neho sypalo na port 53. po odpojeni telky to prestalo.... |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 17:41 #106342
|
|
Majster
Joined: Jan 08, 2006
Posts: 2584
|
|
ja som mal v poslednej dobe tiez podobne problemy.. zrazu sa na uplinkovom potre mikrotiku zacal flood na 53ke.. Divne bolo, ze na LAN portoch bol klud. Tak som do firewallu pridal dropovanie UDP53 z inych ako lokalnycn IPciek.. A odvtedy sa vyrvovnal trafik na LAN a WAN portoch a je pokoj.. Akonahle pravidlo zrusim, vybehne na WAN porte hned niekolkomegabitovy trafik na DNSka... vizera to ako nejaky utok alebo nieco podobne.. |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 19:04 #106343
|
|
Ucen
Joined: Jan 15, 2005
Posts: 768
|
|
Fleg a napadlo ta napr ze:
- na WANe mas DHCP klienta, satracky DHCP server ti v odpovedi posiela okrem ineho aj ich dns IPcky
- na WANe mas od satra verejnu IP
- v default configu MK mas povoleny DNS cache kde sa ako relay pouziju prave IP dnsov ziskane od satra.
Takze inymi slovami, na verejnej IP ti bezi public DNS cache, ktory vsetko smeruje na server satra zo sourcovou IP sato zakaznika... To ze kompy zakaznika pouzivaju ine DNS s tym nema nic spolocne, rovnako na LAN strane nic divne nevidis ani nemozes....
Zahada vyriesena, ziadny backdoor ani vyssia moc |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 19:07 #106344
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
DNS je oblubeny sposob na zosilnenie DDoS... poslem tvojmu DNS serveru UDP paket, v ktorom ho ziadam o odpoved (co najdlhsiu). do paketu nepravdivo uvedeniem ze odosielatelom je IPcka v sieti SATRO. ja od seba odosielam malicke DNS requesty, a tvoj DNS server bude bombardovat SATRO velkymi odpovedami.
preto nie je rozumne
1) nechavat svoj DNS server otvoreny ako resolver pre cely svet (plati pre kazdeho)
2) pustat do siete pakety s akymikolvek zdrojovymi IP (plati pre nadnarodnych ISP) |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 20:56 #106346
|
|
Majster
Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
|
|
Ok debil som ja, neuvedomil som si, ze v defaulte je dnsko MT resolverom pre remote request. Takze neslo o samotnu cache, ta nie je problem, problem je, ze boli povolene remote reuquesty. |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 21:45 #106348
|
|
Basic
Joined: Júl 20, 2012
Posts: 94
Location: Bratislava
|
|
dobre ale ked disabluje v IP/DNS "allow remote requests", bude mu fungovať na LAN strane DNS ? Lebo ja ked to vypnem tak mi stále hádže "stránka nenájdená". Akonáhle dám fajku a apply, všetko ide. Alebo robím niekde chybu? Lokálne stroje majú DNS IP mikrotiku. A v dynamic servers sú IP od ISP.
Takže jedine blokovať z wanky input 53 ? |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 16.04.2014 - 21:58 #106349
|
|
Majster
Joined: Feb 14, 2011
Posts: 2544
|
|
spravne a ak aj niektorý iny HW v sieti je DNS tak input + forward. |
|
|
|
|
|
|
Post subject: RE: Som debil ja, ci satroadmin?
Posted: 17.04.2014 - 07:56 #106352
|
|
Guru
Joined: Mar 13, 2005
Posts: 1867
Location: Nitra
|
|
Tiez sme mali tento a minuly tyzden problem s DNS, - dva mikrotiky na verejnej IP mali zapnutu cache a tym na nas server prichadzalo okolo 2000 poziadaviek za sekundu. Mali sme to takto roky a zrazu to nejaky bot objavil. |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |