Ich betreibe seit einiger Zeit einen zensurfreien öffentlich zugänglichen DNS Server – auch Open Resolver genannt. Normalerweise beantwortet mein DNS Server im unteren zweistelligen Bereich. Am 07.02.2017 habe ich allerdings eine Warnmeldung erhalten, dass die Anzahl der DNS Requests auf knapp einhundert Anfrage pro Sekunde angestiegen lag.

Als ich in das Logfile des DNS Server geschaut habe, habe ich festgestellt das von vielen verschiedenen IP Adressen Anfragen vom Typ ANY für die Domain enlansg.com erhalten habe. Natürlich habe ich Sicherheitsmechanismen zwischen dem DNS Server und dem öffentlichen Internet sowie auf dem DNS Server selbst installiert. Dennoch sind diese vielen Anfragen vom Typ ANY aufgelöst worden. Als ich selbst eine ANY Anfrage ist mir schlagartig bewusst geworden, dass es sich hierbei um eine DNS Amplification Attack handeln musste, da ich sehr viele DNS Text Einträge zurück erhalten habe, welche einen langen Text enthielten. Ein TCP Dump hat auch gezeigt, dass die Anfragen 90 Byte und die Antworten 1510 Byte groß waren.

Ich musste mir nun etwas einfallen lassen um die unerwünschten DNS Anfragen rauszufischen. Eine entsprechende Snort Regel hat sich als sehr effektiv herausgestellt. Falls ihr von einem ähnlichen Problem betroffen seid, dürft ihr meine Snort Regel gern verwenden.

alert udp $EXTERNAL_NET any -> $HOME_NET 53 (msg:“DNS DDoS enlansg.com UDP“; content:“|07 65 6e 6c 61 6e 73 67 03 63 6f 6d 00|“;classtype:attempted-dos;sid:4000003;)

Nach knapp 45 Minuten war Ruhe und knapp 2610 IP Adressen auf der Block Liste von Snort.

2 Comments

  1. Danke, habe genau auch das Problem, 750.000 Zugriffe auf die Adresse ENLANSG.COM am Tag. Habe den DNS Server von aussen auf mein Edge Lite erstmal dicht gemacht.

  2. Warum deaktivierst du ANY nicht? Dann hast du ein sehr großes Problem beseitigt. Ein Open resolver funktioniert auch ohne ANY.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Close