Öffnen Sie den rekursiven DNS-Server. Teil 2



    Vor fast 4 Monaten habe ich meinen rekursiven DNS-Server für alle Internetnutzer geöffnet (siehe vorherigen Artikel ). Die akkumulierte Datenmenge in der ersten Phase des Tests war groß genug. Für die Visualisierung habe ich die Daten in die Datenbank eingegeben und dynamisch wechselnde Diagramme und eine Karte erstellt. Das aufgenommene Video kann unter dem Schnitt angesehen werden. Das Ergebnis war sehr interessant, daher habe ich den DNS-Server nicht vollständig geschlossen, sondern mich darauf beschränkt, Zonen (die für Angriffe verwendet werden) in RPZ-Listen aufzunehmen (welche RPZ finden Sie in diesem Artikel)) Nachdem ich mich bei „kleinen“ Angriffen „entspannt“ hatte (nicht mehr als 100 Anfragen pro Sekunde), blockierte ich die Antworten in den beiden DNS-Zonen nicht und erhielt den ersten Missbrauchsbericht. Der Missbrauchsbericht wurde vom "Roboter" an das Rechenzentrum meines Anbieters gesendet. Die Belastung seines Netzwerks von meinem Server war gering und erreichte regelmäßig 100 Anfragen pro Sekunde. Angesichts der Tatsache, dass Millionen offener Resolver verwendet werden könnten, könnte die maximale Belastung seines Netzwerks erheblich sein. Missbrauchsbericht und motivierte mich, zum zweiten Teil des Tests zu gehen. Deaktivieren Sie offenes rekursives DNS und überwachen Sie weiterhin das Verhalten von Angreifern.

    Visualisierung des im ersten Artikel beschriebenen Angriffs :



    Beschreibung der Testumgebung

    Beim Schreiben des letzten Artikels wurden alle Daten fast manuell gesammelt und verarbeitet. Es war lang, langweilig und manchmal mussten die Ergebnisse noch einmal überprüft werden. Da ich ziemlich faul bin, Prozesse gerne automatisiere und Daten analysiere, wurde ich zu dem Schluss gebracht, ein kleines System zum Melden und Analysieren eingehender Protokolle von einem DNS-Server in einem Modus nahe der Echtzeit zu erstellen (wenn es interessant ist, kann ich es in einem separaten Artikel beschreiben). Alle in diesem Artikel verwendeten Grafiken und Tabellen wurden mit jqPlot, jqGrid und dem Google Maps-Dienst erstellt. Ich verwende das virtuelle Infoblox-Gerät als DNS-Server, aber das Syslog-Nachrichtenformat ähnelt dem Binden.

    Angriffe

    Während des Tests wurde mein Server verwendet, um DrDoS-Angriffe (Amplification + Reflection) durchzuführen, und es wurde auch versucht, den Cache zu vergiften. Bei einigen Anfragen war klar, dass der DGA-Mechanismus (Domain Generation Algorithm) verwendet wurde, möglicherweise zur Cache-Vergiftung, möglicherweise zur Kommunikation mit Kontrollzentren (da diese Domänen nur für Angriffe verwendet wurden) oder für Angriffe mit Phantomdomänen.

    Nach dem Ausschalten des rekursiven Servers nahm die parasitäre Last ab, verschwand jedoch überhaupt nicht.

    Die Spitzenlast auf einem "offenen" Server erreichte 3.000 Anfragen pro Sekunde und hielt durchschnittlich etwa 100 Anfragen pro Sekunde. Auf einem geschlossenen Server verringerte sich die maximale Last auf 20 Anfragen pro Sekunde mit seltenen Spitzen auf bis zu 100 Anfragen (Ratenlimit auf 300 Anfragen pro Minute konfiguriert) mit der Möglichkeit eines Wachstums bis zu 1000).



    Wie Sie in der folgenden Grafik sehen können, litten Unternehmen in den USA am meisten unter den Aktionen von Angreifern.



    Eine Analyse der Anzahl der an das Netzwerk jedes Unternehmens gesendeten Anfragen kann indirekt dazu beitragen, Opfer und mögliche infizierte Netzwerke zu identifizieren. Beispielsweise ist das China Telecom-Netzwerk wahrscheinlich infiziert, und der Client von Rostelecom wurde angegriffen. Die folgende Tabelle enthält Informationen für Organisationen, die Anzahl der IP-Adressen und die Anzahl der verarbeiteten Anforderungen. Unternehmensdaten wurden über den whois-Service abgerufen.

    LandFirmaAnzahl der AnfragenNummer der IP
    Vereinigte StaatenSoftLayer Technologies Inc.396520236
    Vereinigte StaatenSingleHop, Inc.261798727
    Vereinigte StaatenPSINet, Inc.199446122
    FrankreichOVH SAS1051080304
    Vereinigtes KönigreichHosting Services Inc.9383674
    Deutschland1 & 1 Internet AG76102012
    Vereinigte StaatenPrivateSystems-Netzwerke7486414
    Russische FöderationOJSC Rostelecom Ticket 09-39331, RISS 15440, UrF6870281
    Vereinigte StaatenTime Warner Cable Internet LLC6712111568
    KanadaOVH Hosting, Inc.592920213
    Vereinigte StaatenAkamai Technologies, Inc.1763274410
    ChinaChina Telecom51565207
    Vereinigte StaatenAT & T Internetdienste 27502854


    DrDOS-Angriff

    Für den Angriff wurden die in der folgenden Tabelle aufgeführten Domänen verwendet. Die Domain freeinfosys.com erschien nach dem "Schließen" des rekursiven Servers. Dies kann bedeuten, dass jemand veraltete Datenbanken verwendet, die selten überprüft werden.
        Um festzustellen, ob Ihr Server angegriffen oder zur Durchführung von Angriffen verwendet wird, reicht es aus, zu analysieren, welche Domänen und wie oft die Anforderung "ANY + E" adressiert wurde.

    DomainAnfrage FlaggeAnzahl der Anfragen
    webpanel.skJEDER+ E.14962032
    oggr.ruJEDER+ E.8300693
    energystar.govJEDER+ E.6676350
    doleta.govJEDER+ E.6326853
    067.czJEDER+ E.2463053
    sema.czJEDER+ E.1251206
    GUESSINFOSYS.COMJEDER+ E.690320
    jerusalem.netfirms.comJEDER+ E.587534
    paypal.deJEDER+ E.454756
    nlhosting.nlJEDER+ E.414113
    freeinfosys.comJEDER+ E.352233
    krasti.usJEDER+ E.333806
    doc.govJEDER+ E.259248
    svist21.czJEDER+ E.231946
    wradish.comJEDER+ E.117294


    Bei Verwendung von „ANY + E“ werden alle Informationen zur Zone angefordert und die EDNS-Funktionalität aktiviert, um die maximal mögliche UDP-Paketgröße zu erhalten. Eine Liste der 10 häufigsten Abfragen und ihrer Flags ist in der folgenden Tabelle aufgeführt.

    AnfrageFlaggenAnzahl der Anfragen
    JEDER+ E.43500439
    A.-ED17339
    JEDER+11932
    A.- -9853
    A.-EDC8956
    AAAA-EDC4749
    AAAA-ED4467
    JEDER- -2289
    A.+ E.1899
    Rrsig+ E.1124


    Cache-Vergiftung, zufälliger Domain-Angriff und DGA

    Während des Betriebs des DNS-Servers wurde eine geringe Anzahl von Cache-Vergiftungsangriffen festgestellt. In der Statistik des Infoblox-DNS-Servers wurde angegeben, dass Antworten mit falschen Ports und Abfrage-ID empfangen wurden, die zu analysierenden Protokolldateien jedoch leider nicht gespeichert wurden.

    Außerdem wurden verdächtige Abfragen des Formulars gefunden:
    • ndnaplaaaaeml0000dgaaabbaaabgnli.energystar.gov;
    • mmokojaaaaeml0000dgaaabbaaabgclm.doleta.gov;
    • oaanjeaaaaesc0000deaaabbaaabicoc.webpanel.sk;
    • cnklipaaaaesh0000claaabbaaabfgoa;
    • 2d852aba-7d5f-11e4-b763-d89d67232680.ipvm.biz.


    Es ist durchaus möglich, dass sich diese Einträge teilweise auf identifizierte Versuche beziehen, den Cache zu vergiften, einen Angriff mit Phantomdomänen durchzuführen (der autorisierende Server reagiert nicht und der ausgehende Verbindungspool wird verstopft) oder die Arbeit von „unbekannten Tieren“ (Malware), die versuchen, das Kontrollzentrum zu kontaktieren.

    Schlussfolgerungen

    • Jeder DNS-Server ist eine wunderbare Informationsquelle über das Verhalten normaler Benutzer und Malware.
    • Die Protokollanalyse trägt zur Verbesserung der DNS-Qualität bei.
    • Eine große Anzahl von "ANY + E" -Anfragen zeigt an, dass sich Ihr Server befindet oder an einem Angriff beteiligt ist.
    • Um DrDOS-Angriffe durchzuführen, verwendete Malware eine kleine Anzahl von Domänen (nicht mehr als 3x4-4 gleichzeitig).
    • Durch das Blockieren solcher verdächtiger Domänen (z. B. in RPZ) wird die Belastung des Servers und des Netzwerks verringert.
    • Zu lange DNS-Namen (wie im obigen Beispiel) sind der Grund für eine genaue Untersuchung des Verhaltens des Clients (der Host ist infiziert oder jemand verwendet DNS-Tunnel).

    Jetzt auch beliebt: