Hjälp!? Min DNS-server blir DDoSad!

Emil.s · Inlägg av **Emil.s** » 12 aug 2012, 03:34

I en tidigare tråd här så hade jag stora problem med packetloss på min internetanslutning.

Nu tror jag mig ha hittat problemet. Min DNS-server blir DDoSad!
Utdrag från syslog:

Kod: Markera allt

Aug 12 03:29:23 sandnabba named[20190]: client 167.216.129.13#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 212.117.161.222#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 94.236.107.55#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 74.208.181.6#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 173.45.236.230#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 96.30.10.13#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 167.216.129.13#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 70.32.35.236#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 94.236.107.55#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 74.208.181.6#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 173.45.236.230#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 167.216.129.13#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 70.32.35.236#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 96.30.10.13#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 94.236.107.55#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 74.208.181.6#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 173.45.236.230#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 212.117.161.222#53: query (cache) 'ripe.net/ANY/IN' denied
Aug 12 03:29:23 sandnabba named[20190]: client 167.216.129.13#53: query (cache) 'ripe.net/ANY/IN' denied

Och så håller det på tills jag stänger av bind.

Har precis installerat om systemet med en helt ren 12.04 installation.
Det enda som är ändrat i konfigurationen är att jag lagt till följande i /etc/bind/named.conf:

Kod: Markera allt

      allow-recursion { 10.0.0.0/20; 127.0.0.1; };
      allow-query { 10.0.0.0/20; 127.0.0.1; };
      allow-query-cache { 10.0.0.0/20; 127.0.0.1; };

10.0.0.0/20 är mitt lokala nätverk.

Någon idé på vad man kan göra åt detta!?

andol · Inlägg av **andol** » 12 aug 2012, 04:49

Om jag tolkar rätt så agerar DNS-servern enbart resolver? I sådant fall skulle det kunna vara värt att tala om för iptables att göra en DROP på DNS-förfrågningar som kommer utifrån. Torde vara betydligt skonsammare för nätet att enbart droppa de förfrågningarna, kontra att BIND explict ska skicka en reject.

Emil.s · Inlägg av **Emil.s** » 12 aug 2012, 18:29

Ja, det var ju en variant. På sikt kan det eventuellt bli lite problem då jag kanske kommer att behöva köra någon zon på maskinen.
Men det får duga tills vidare.

Dock så får jag ändå inte till det!?
Normalt sett så har jag följande i min brandvägg:

Kod: Markera allt

iptables -A INPUT -p tcp --dport 53 -j ACCEPT

Bytte till:

Kod: Markera allt

iptables -A INPUT -s 10.0.0.0/20 -p tcp --dport 53 -j ACCEPT

Men får fortfarande en massa requests i syslog!?

Provade även:

Kod: Markera allt

iptables -A INPUT ! -s 10.0.0.0/20 -p tcp --dport 53 -j DROP

Men då kunde jag inte nå servern lokalt heller...

Känns åter som man gjort något fel, men kan inte se vad...

andol · Inlägg av **andol** » 12 aug 2012, 20:27

Tja, svårt att säga utan att se helheten regelmässigt.

Antar att du per default droppar allt inkommande som inte explicit är acceptat? Hur gör du med de DNS-förfrågningar som kommer över UDP då?

Emil.s · Inlägg av **Emil.s** » 13 aug 2012, 01:28

Har 2st identiska regler, 1 för UDP, en för TCP.

Har drop på INPUT och FORWARD, ACCEPT på OUTPUT.

Sen kommer:

Kod: Markera allt

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ganska simpel setup egentligen, så det här blir man ju inte klok på...

Ubuntu Sverige

Hjälp!? Min DNS-server blir DDoSad!

Hjälp!? Min DNS-server blir DDoSad!

Re: Hjälp!? Min DNS-server blir DDoSad!

Re: Hjälp!? Min DNS-server blir DDoSad!

Re: Hjälp!? Min DNS-server blir DDoSad!

Re: Hjälp!? Min DNS-server blir DDoSad!