SKFREE Pokec - Som debil ja, ci satroadmin? fleg - 16.04.2014 - 12:20 Post subject: Som debil ja, ci satroadmin?
Dnes ma presviedcal admin zo Satra, ze ich zakaznici, ktorych servisujem flooduju ich dnska nezmyselnymi poziadavkami na neexistujuce domeny.
Vsetky IP, ktore si na blacklistoch maju spolocne to, ze gw je RB750, ako som pozeral s verziami od 4 do 5.
V telefone mi tvrdil, ze u inych zakaznikoch pomohla vymena routra a ze trafik videl aj vtedy ked som fyzicky odpojil celu LANku, takze podla neho to robi samotny router.
Na routroch som nastavil navyse uz davnejsie google a opendns servre a aj tak tvrdi, ze neustale vidi traffic na ich dnska, Ja z lanky cez torch nic nevidim a pride mi divne, zeby ma mali Mikrotiky nejaku dieru cez, ktoru by takto vedeli floodovat dns ISP.
Stretol som sa niekto s niecim takym? Nejde mi do hlavy, zeby nieco existovalo, ved by sa to davno prevalilo, navyse mam RB750 aj u inych zakaznikov s verejnymi IP a ISP a tam nikto nic nehlasil.
kotol - 16.04.2014 - 13:22 Post subject:
podla mna floodovat nemozu pretoze im stale nechodi pripojenie
satro je firma ako z ineho sveta... mame od nich zaloznu linku v galante.. a pomer vypadkov nasho internetu k satru je asi 0:123
ale ked ich clovek upozorni ze nieco tam maju silne nedorisene.. tak je vsetko v najvacsom poriadku kubiik - 16.04.2014 - 16:00 Post subject:
zaznamenal som dva divne podobne pripady
1) RB co spravuje nejaky tipek z lightstormu u jedneho nasho pripojeneho klienta- vraj je vsetko OK ale lezie cez ten RB (neviemaky) stale sypacka na port 53
2) kamarat ma nejaku velku telku sony. tiez sa daco od neho sypalo na port 53. po odpojeni telky to prestalo....
JOFO - 16.04.2014 - 17:41 Post subject:
ja som mal v poslednej dobe tiez podobne problemy.. zrazu sa na uplinkovom potre mikrotiku zacal flood na 53ke.. Divne bolo, ze na LAN portoch bol klud. Tak som do firewallu pridal dropovanie UDP53 z inych ako lokalnycn IPciek.. A odvtedy sa vyrvovnal trafik na LAN a WAN portoch a je pokoj.. Akonahle pravidlo zrusim, vybehne na WAN porte hned niekolkomegabitovy trafik na DNSka... vizera to ako nejaky utok alebo nieco podobne..
lol - 16.04.2014 - 19:04 Post subject:
Fleg a napadlo ta napr ze:
- na WANe mas DHCP klienta, satracky DHCP server ti v odpovedi posiela okrem ineho aj ich dns IPcky
- na WANe mas od satra verejnu IP
- v default configu MK mas povoleny DNS cache kde sa ako relay pouziju prave IP dnsov ziskane od satra.
Takze inymi slovami, na verejnej IP ti bezi public DNS cache, ktory vsetko smeruje na server satra zo sourcovou IP sato zakaznika... To ze kompy zakaznika pouzivaju ine DNS s tym nema nic spolocne, rovnako na LAN strane nic divne nevidis ani nemozes....
Zahada vyriesena, ziadny backdoor ani vyssia moc pixall - 16.04.2014 - 19:07 Post subject:
DNS je oblubeny sposob na zosilnenie DDoS... poslem tvojmu DNS serveru UDP paket, v ktorom ho ziadam o odpoved (co najdlhsiu). do paketu nepravdivo uvedeniem ze odosielatelom je IPcka v sieti SATRO. ja od seba odosielam malicke DNS requesty, a tvoj DNS server bude bombardovat SATRO velkymi odpovedami.
preto nie je rozumne
1) nechavat svoj DNS server otvoreny ako resolver pre cely svet (plati pre kazdeho)
2) pustat do siete pakety s akymikolvek zdrojovymi IP (plati pre nadnarodnych ISP)
fleg - 16.04.2014 - 20:56 Post subject:
Ok debil som ja, neuvedomil som si, ze v defaulte je dnsko MT resolverom pre remote request. Takze neslo o samotnu cache, ta nie je problem, problem je, ze boli povolene remote reuquesty.
psichac - 16.04.2014 - 21:45 Post subject:
dobre ale ked disabluje v IP/DNS "allow remote requests", bude mu fungovať na LAN strane DNS ? Lebo ja ked to vypnem tak mi stále hádže "stránka nenájdená". Akonáhle dám fajku a apply, všetko ide. Alebo robím niekde chybu? Lokálne stroje majú DNS IP mikrotiku. A v dynamic servers sú IP od ISP.
Takže jedine blokovať z wanky input 53 ?
midnight_man - 16.04.2014 - 21:58 Post subject:
spravne a ak aj niektorý iny HW v sieti je DNS tak input + forward.
airbilly - 17.04.2014 - 07:56 Post subject:
Tiez sme mali tento a minuly tyzden problem s DNS, - dva mikrotiky na verejnej IP mali zapnutu cache a tym na nas server prichadzalo okolo 2000 poziadaviek za sekundu. Mali sme to takto roky a zrazu to nejaky bot objavil.
