Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Cudne DNS konekcije

[es] :: Enterprise Networking :: Cudne DNS konekcije

[ Pregleda: 2729 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5895

Sajt: pedja.supurovic.net


+1415 Profil

icon Cudne DNS konekcije26.06.2014. u 00:49 - pre 74 meseci
Imam ruter sa staticnom javnom IP adresom i NAT na lokalnu mrezu.

Primetio sam veliki broj upita sa internet na na javnu ip adresu rutera na DNS port. Upiti dolaze sa nekoliko desetina IP adresa a svi salju DNS upit za domen bang.zong.co.ua. Frekvencija upita je oko dvadesetak u sekundi.

Iako te konekcije ne prolaze u ruter vec danima traju konstantni pokusaji.

Na internetu sam nasao da se adresa bang.zong.co.ua povezuje sa honey-potovima.

Nije mi jasno cemu ovo sluzi? Neki trojanci pokusavaju da koriste moj ruter kao DNS da resolviraju ovu adresu? Nikakvih drugih nekontrolisanih pokusaja konekcija na ruter nema sem ovih na DNS.

Ova IP adresa je skoro dobijena od provajdera. Mozda je prethodno bila dodeljena nekome ko ju je koristio aktivno za nekakav DNS serer pa su sada trojanci nastavili da pokusavaju da koriste isti IP?

Sto ne odustaju ako vec danima nista ne mogu da dobiju od ovog IP jer ruter odbija sve te konekcije?

Jadna od IP adresa sa koje je dosao dNS upit je i 8.8.8.8 (Google public DNS) tako d ami izgled ako da je ova IP koja je dodeljena ruteru negde navedena kao DNS server i da je to razlgo sto se ove konekciej pojavljuju. Nisam uspeo da nadjem u kojoj DNS zoni se pojavljuje ova IP kao NS.
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 366



+185 Profil

icon Re: Cudne DNS konekcije26.06.2014. u 14:10 - pre 74 meseci
Jesi li probao da nekako snimis taj DNS saobracaj i utvrdis da li se radi o upitima ili odgovorima? Naravno ako je to ikako moguce ...

Meni to ovako na prvi pogled lici na reflektivni DNS DDoS napad ili na neko njuskanje kako bi otkrili da li se tvoj ruter ponasa kao otvoreni DNS resolver (kako bi kasnije bio zloupotrebljen za reflektivni napad). Mnogi kucni ruteri se ponasaju tako i predstavljaju sigurnosne rupetine.

Takodje mi u oci upada 8.8.8.8, sto mi je krajnje sumnjivo, jer Google Public DNS nikada ne koristi tu adresu za rekurzivne upite ka autoritativnim serverima. Kada koristis njihov servis i podesis da ti je DNS = 8.8.8.8, tvoj racunar ce slati upite ka toj adresi i primati odgovore sa nje. Medjutim, Google ce rekurziju slati sa drugih adresa, sto lepo moze da se vidi ako kazes:

dig whoami.akamai.net @8.8.8.8 ili
host whoami.akamai.net 8.8.8.8

Primer:

$ dig whoami.akamai.net @8.8.8.8

; <<>> DiG 9.6-ESV-R4-P3 <<>> whoami.akamai.net @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61025
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;whoami.akamai.net. IN A

;; ANSWER SECTION:
whoami.akamai.net. 163 IN A 74.125.18.211

;; Query time: 6 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jun 26 15:04:17 2014
;; MSG SIZE rcvd: 51

Kao sto vidis, Google je u ovom primeru primio tvoj upit na 8.8.8.8 a poslao ga ka Akamai test-serveru sa adrese 74.125.18.211.

Vise informacija o veoma korisnom servisu whoami.akamai.net mozes da vidis ovde. Slanjem A? upita na whoami.akamai.net vraca ti se odgovor sa IP adresom odakle je upit stigao, sto moze da bude korisno za troubleshooting raznih DNS konfiguracija. Moja jedina zamerka je sto nisu omogucili taj servis i za IPv6 upite/odgovore ...

[Ovu poruku je menjao B3R1 dana 26.06.2014. u 15:23 GMT+1]
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5895

Sajt: pedja.supurovic.net


+1415 Profil

icon Re: Cudne DNS konekcije27.06.2014. u 08:41 - pre 74 meseci
Radi se o dolaznim upitima za domen bang.zong.co.ua upucenim na DNS na mom ruteru.

Ako na ruteru omogucim pristup DNS frowarderu sa Interneta on primi upit i odradi sve sto treba da odradi.

8.8.8.8 je i mene bas zacudila. SVe ostalo ukayuje na neku igrariju trojanaca sa DNS-om ali taj 8.8.8.8 odskace.

Nju sam uhvatio kada sam na ruteru namestio da uz pomoc Layer7 filera hvata sve dolazne konekcije koje sadrze bang.zong.co.ua. To bi trebalo da hvata smo upite upucene ruteru ali ne iskljucujem da sam mozda tada nesto zeznuo pa da je uhvacena i neka odlazna konekcija.

Evo za oko 24 sata, ruter je zabelezio pokusaje DNS upita sa preko dve hiljade IP adresa.

Ako zanemarimo 8.8.8.8 ovo mi najvise lici kao da trojanci pokusavaju da koriste sve moguce otvorene DNS-ove. Samo mi nije jasno sto ne odustaju kada je ocigledno da na ovom ruteru nece proci.

Posto ima na raspolaganju josjavih IP u istom opsegu, najverovatnije cu da promenim javnu IP adresu rutera da ga rasteretim i od dropovanja ovih nepotrebnih konekcija.
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 366



+185 Profil

icon Re: Cudne DNS konekcije27.06.2014. u 13:50 - pre 74 meseci
Kad malo bolje razmislim - taj 8.8.8.8 i nije greska. On je zapravo bio meta napada. Mada je glupost uopste pokusati tako nesto, s obizrom da je 8.8.8.8 anycast adresa koju koriste stotine DNS servera, tako da je efekat takvog napada relativno mali.

Kod reflektivnog DNS napada botovi lansiraju na hiljade spoofovanih DNS upita ka potencijalno otvorenim DNS resolverima, u kojima source IP adresa odgovara adresi mete napada. Najcesce se biraju kucni ruteri, jer vecina starijih rutera ima otvorene resolvere na spoljasnjem interfejsu u default konfiguraciji. DNS upiti su najcesce tipa ANY (QCLASS=RRTYPE=255), a domeni koji se javljaju u DNS upitima (poput tog bang.zong.co.ua) su tzv. "honeypots" (vidi: http://www.nothink.org/honeypot_dns.php) - oni su izabrani zato sto njihovi autoritativni serveri vracaju ogromne odgovore. Pri tome se obicno u upitima ukljuci i EDNS0, kako bi serveri vracali odogovre u velikim paketima.
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5895

Sajt: pedja.supurovic.net


+1415 Profil

icon Re: Cudne DNS konekcije01.07.2014. u 13:26 - pre 74 meseci
Jos uvek nije prestalo.

Za pet dana uhvatio sam upite sa preko 10000 adresa.

Medju njima je 1.1.1.1 koji propada Google-u a interesantne su i 1.3.3.7 (u Kini) i 2.2.2.2 (Nemacka)


 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 366



+185 Profil

icon Re: Cudne DNS konekcije01.07.2014. u 14:32 - pre 74 meseci
Hm, mozda i drugi korisnici to primaju, ali si ti jedini koji je to primetio. :-) Meni se cini da je neko ceo provajderov opseg stavio na listu otvorenih resolvera. Da li si probao da pretrazis ovu listu http://openresolverproject.org/ ?
 
Odgovor na temu

Sleepless_mind
Bojan Vranac
NetLogic D.O.O.
01000010 01000111 0100010

Član broj: 33611
Poruke: 564
..0:1100:0:dd0d:5971:7988:c670

Jabber: wizard[at]elitesecurity.org
ICQ: 12413605
Sajt: www.netlogic.rs


+34 Profil

icon Re: Cudne DNS konekcije03.07.2014. u 09:48 - pre 74 meseci
Primetio sam da se to desava vec neko vreme, pa sam pokusao da pohvatam IP adrese na mtiku, postavio fw pravila da pravi listu adresa i kasnije drop tu listu.
Desilo se da je za 2 nedelje lista bila sa preko 5 miliona adresa. Zanimljivo je da to script kiddies jos (opet) rade, mada je napad odlican, mali upit, a veliki odgovor :)
We are Borg. We shall assimilate you.
RESISTANCE IS FUTILE!

Asus P6T Deluxe V2
Intel Core i7 965 3.2GHz
OCZ 3x2GB DDR3 PC3-12800 Flex EX Low Voltage Triple Channel
2x1000GB Spinpoint F1
ATI Radeon HD5970
Lian Li PC-P80R
Samsung T240

www.me2everyone.com/213043
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5895

Sajt: pedja.supurovic.net


+1415 Profil

icon Re: Cudne DNS konekcije03.07.2014. u 11:35 - pre 74 meseci
Na akativnom DNS sereru nije bas ni lako primeriti to jer on ionako stalno prima neke upite.

Ja sma slucajn primetio cudne zapise u DNs kesu pa sam se zainteresovao.

Evo juce mi se i sto pojavilo na drugom ruteru na drugoj lokaciji, i iako sam vec imao iskostvo na jednom ruteru, opet nisam odmah provalio da je ista stvar (samo salju upite za druge domene).

 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1155
*.dynamic.isp.telekom.rs.



+79 Profil

icon Re: Cudne DNS konekcije08.07.2014. u 20:23 - pre 73 meseci
Skoro sam čuo za projekat Shodan. Više o tome može se pročitati ovde:
http://www.washingtonpost.com/...12/06/03/gJQAIK9KCV_story.html

čovek je svoje istraživanje predstavio i UNESCo-u
http://en.www.netexplo.org/rep...-john-matherly-usa-pour-shodan

ovo je njegov sajt
http://www.shodanhq.com/

Ako sam dobro razumeo, njegov tim mašina skenira čitave opsege 24 sata dnevno kako bi naišao na sigurnosne propuste(Telnet, MySQL, SSH, DNS) i onda te podatke pre objavljivanja koristi za istraživanje i prosleđuje nadležnima...
Posetio sam njegov sajt i kliknuo na "take a tour" da vidim šta zapravo čovek radi... logovao se sa lažnim google nalogom i ako sam dobro shvatio... komjuniti hakera prijavljuje webkamere, rutere itd koji imaju default passworde i sigurnosne propuste... u jednom delu su i DNS serveri koje Peđa spominje 1.1.1.1 itd.
 
Odgovor na temu

[es] :: Enterprise Networking :: Cudne DNS konekcije

[ Pregleda: 2729 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.