Весьма серьезная тема звучит она так: атака DDoS с DNS reflection умножением через DNS - резолверы, многие владельцы выделенных серверов (а также VPS) и незнают, что являются резолверами.

Посвящена тема DNS reflection "небольшим" владельцам выделенных и виртуальных серверов, которые нашли в своих логах что-то подобное:

период лога 1 мин

named[508]: client 188.165.221.37#25345: query (cache) 'isc.org/ANY/IN' denied
named[508]: client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' denied
last message repeated 170 times
named[508]: client 188.165.221.37#25345: query (cache) 'isc.org/ANY/IN' denied
named[508]: client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' denied
last message repeated 230 times
named[508]: client 188.165.221.37#25345: query (cache) 'isc.org/ANY/IN' denied
named[508]: client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' denied
last message repeated 75 times
named[508]: client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' denied
last message repeated 346 times
last message repeated 2 times
named[508]: client 188.165.221.37#25345: query (cache) 'isc.org/ANY/IN' denied
named[508]: client 108.162.233.15#80: query (cache) 'isc.org/ANY/IN' denied
last message repeated 368 times
last message repeated 649 times
last message repeated 393 times

Неимоверное количество записей "каких-то" обращений, логи вырастают свыше 500 мегабайт (2 шт daemon.log, xconsole.log), но при этом узел работает, сервисы (апач, sql, днс ...) работают корректно, где я только не искал, что же значат эти записи ничего не находил, но всетаки нашлось.

В этом кусочке лога, клиент 188.165.221.37 и 108.162.233.15 обращаются к моему dns-серверу (bind9) с запросом на поиск домена ISC.ORG на моем серваке. DNS сервер отвечает клиентам 188.165.221.37 и 108.162.233.15 об отсутствии ISC.ORG на моем сервере.

Зачем это делают и кому это нужно: клиенты 188.165.221.37 и 108.162.233.15 обратившиеся к моему DNS серверу на самом деле не обращались к нему. Тема в следующем: злоумышленник направляет на ip адрес моего вебсервера UDP запрос (размером в 64 байта) адресованный dns-серверу, только в UDP запросе подделан IP-адрес отправителя, и в моем случае подделан он на эти два адреса 188.165.221.37 и 108.162.233.15 так вот мой сервак отвечает в эти адреса ответом, длиной в 3223 байт о том что нет ISC.ORG у меня.

Теперь смотрим на строчку last message repeated 393 times то есть запрос "А есть ли у вас - много уважаемый сервак Hellhog.ru домен ISC.ORG?" повторяли 300-600 раз за 1 мин и 1 минуту сервак отвечал со слюною на губах НЕТ НЕТ НЕТ.

Так вот ответ от dns-сервера в адресс "подставленного" клиента 188.165.221.37 или 108.162.233.15 является DDoS атакой, а сервер где установлен сервис DNS является ДНС-резолвером, а точнее тем самым умножителем, т.к. злоумышленник направляет 64 байта, а клиентам отправляется 3223 байта это практически в 50 раз больше (то самое умножение).

Лечится очень просто - закрытием OPEN DNS.

acl "trusted" { всеIPсервера;127.0.0.1; };
options { allow-recursion { trusted; };
allow-notify { trusted; };
allow-transfer { trusted; };

 

Не будь частью ботнета - закрой свой днс.

http://www.xakep.ru/post/59564/default.asp

-
Наверх