pondělí 21. května 2012

DNS Každá žádost Cannon - Potřebujete další balíčky


Máme zprávu od našeho čtenáře Tuukka, kdo sledoval záplavu DNS každou žádost pravděpodobně falešných IP adres. Co zatím víme je, že to vypadá, že DNS Reflexní zesílení útoku. Ty obvykle používají obecné rekurzivní DNS dotazy na špatně nakonfigurované vláčení služby DNS. Tato akce se liší v tom, že odraz je cílenější. DNS "Všechny" rekordní dotazy byly zaslány pouze pro domény, pro které je autoritativní server, který od server se samozřejmě odpovědi bez ohledu na dostupné rekurze. Tyto události byly validovány v reálném čase pozorování jedním z našich rutiny. Zde je to, co zatím víme.
 
Hit List: 
  • Zdroj IP spoofed
  • Povodňová trvá až 60 sekund na 500 dotazů v čemž svědčí, ale pravděpodobně by mohlo být více)
  • Povodeň přijde z určeného IP a zdá se, zaměřit se více domén na autoritativní server
  • Všechny pozorované požadavky jsou podobné tak daleko
  • To se zdá být podobný tomu, co jiní vidět [1]

Příklad DNS položka protokolu:
  • xxxx je podvržené / cílový server
  • example.com/10.1.1.1 je "odráží" DNS server
21-May-2012 13:21:41.757 dotazy: INFO: Klient xxxx # 20475: Zobrazit externí: Dotaz: example.com JAKÝMKOLIV více let odst. 10.1.1.1)
21-May-2012 13:21:41.897 dotazy: INFO: Klient xxxx # 59247: Zobrazit externí: Dotaz: example.com JAKÝMKOLIV + (10.1.1.1)
21-May-2012 13:21:42.054 dotazy: INFO: Klient xxxx # 18676: Zobrazit externí: Dotaz: example.com JAKÝMKOLIV + (10.1.1.1)
21-May-2012 13:21:42.059 dotazy: INFO: Klient xxxx # 28530: Zobrazit externí: Dotaz: example.com JAKÝMKOLIV + (10.1.1.1)
21-May-2012 13:21:42.193 dotazy: INFO: Klient xxxx # 6489: Zobrazit externí: Dotaz: example.com JAKÝMKOLIV + (10.1.1.1)
 
 
Máme zájem vědět, pokud jste viděli to a to, co jste udělal pro zmírnění žádné škodlivé účinky těchto událostí. Prosím přidat komentář k dejte nám vědět.
 
Chceme také, aby DNS záznamy a záznamy paketů zachycení událostí popsaných v tomto deníku. Tam je ještě mnoho naučit o tomto chování.
 
Vidíte-li jakýkoliv dotaz odchozí povodně vaší síti: Zkuste identifikovat zdrojový stroj. Bylo by zajímavé vidět, co způsobí, že nástroj pro dotazy.
 
 
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)