DNS Storm, comment y parer ?

Le
xavier
Bonjour,

Depuis quelques temps, mes utilisateurs se plaignent de lenteurs, voire
de coupures sur la liaison Internet (8 Mb/s symétrique)

En y regardant de plus près avec WireShark, je constate un débit de
100 Mb/s en requêtes DNS !!! La plupart de ou vers
mail.hogskoll.bollnas.se

Comme je n'ai rien changé à la config de mon DNS (*), ça doit forcément
venir de l'extérieur. Et comme je suis authoritative pour mez zones
ainsi que le reverse, je ne peux pas filtrer à la hache

Si Orange Business Services me laissait la main sur son routeur, je
pourrais y faire du shaping sur le port 53, mais ce n'est pas le cas

Une idée ?

Merci,

(*) Mes zones passent le zonecheck de l'AFNIC sans erreurs ni warnings.
--
Xav
Disponible au 1/9/2009
<http://www.xavierhumbert.net/perso/CV2.html>
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
xavier
Le #19341071
Xavier
En y regardant de plus près avec WireShark, je constate un débit de
100 Mb/s en requêtes DNS !!! La plupart de ou vers
mail.hogskoll.bollnas.se



Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y
a énormément de paquets fragmentés.

Grmbl, j'aurais pas un open-DNS avec la recursion ouverte, moi ?

Ben non :

options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
allow-transfer { none; };
allow-recursion { injep; };
...
};

Et
Alors, c'est quoi ce bo**el ?

--
Xav
Disponible au 1/9/2009
Alex Chauvin
Le #19344041
Xavier wrote:
Xavier
En y regardant de plus près avec WireShark, je constate un débit de
100 Mb/s en requêtes DNS !!! La plupart de ou vers
mail.hogskoll.bollnas.se



Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y
a énormément de paquets fragmentés.



Et quelle est la requête effectuée ? Cela vous donnera peut-être une
idée sur la nature de l'attaque.

Bon courage, Alex.

--
Alex Chauvin / http://bikeo.fr
0825 626 844 /
Pascal Hambourg
Le #19344031
Salut,

Xavier a écrit :
Xavier
En y regardant de plus près avec WireShark, je constate un débit de
100 Mb/s en requêtes DNS !!!





100 Mbits/s sur une ligne à 8 Mbit/s ? Dans quelle direction ? Quelles
requêtes exactement ?

La plupart de ou vers mail.hogskoll.bollnas.se



Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y
a énormément de paquets fragmentés.



Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS
génère de la fragmentation.

Grmbl, j'aurais pas un open-DNS avec la recursion ouverte, moi ?



Pas besoin de récursion ouverte. Il y a quelque temps il y a eu une
vague d'attaque DNS par amplification avec usurpation d'adresse qui
exploitait une particularité de certains serveurs non récursifs : quand
on leur fait une requête sur "." (la racine), il renvoient la liste des
serveurs racines. Petite requête, grosse réponse que se mange la victime
dont l'adresse est usurpée. Pour l'éviter, j'avais mis l'option
additional-from-cache de BIND à no, du coup la réponse est petite et il
n'y a plus d'amplification. Par contre le débit des requêtes n'avait
rien à voir avec ce que tu décris.

Alors, c'est quoi ce bo**el ?



Un (D)DoS ?
xavier
Le #19358621
Pascal Hambourg
100 Mbits/s sur une ligne à 8 Mbit/s ? Dans quelle direction ? Quelles
requêtes exactement ?



Entrant et sortant. Des requêtes normales (A, PTR ou MX) mais pour des
domaines qui ne me concernent pas.

Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS
génère de la fragmentation.



J'ai rajouté un scrub in all dans ma conf PF, je l'avais oublié.

> Alors, c'est quoi ce bo**el ?

Un (D)DoS ?



On dirait. Ca s'est calmé... Ce qui est curieux c'est que pas mal des
requêtes semblaient venir de NICs ou de ROOTs ?? J'ai pas pu garder les
captures de WireShark, c'est *beaucoup* trop gros pour mon petit /var de
10GB

--
Xav
Disponible au 1/9/2009
Stephane Bortzmeyer
Le #19384121
Pascal Hambourg wrote:

Correction, ça vient de partout (pour voir ça tcpdump va mieux), et il y
a énormément de paquets fragmentés.



Déjà tu peux bloquer les fragments. Aucune raison que du trafic DNS
génère de la fragmentation.



Hmmm, prudence, on n'en est plus loin. Une réponse à la question "SOA
ripe.net", avec DNSSEC, génère 1409 octets. Avec les en-têtes divers, on
s'approche dangereusement des 1500 d'Ethernet.
Stephane Bortzmeyer
Le #19384111
Xavier wrote:
Ce qui est curieux c'est que pas mal des
requêtes semblaient venir de NICs ou de ROOTs ??



Des noms ! Ou, plutôt, le résultat de tcpdump.

J'ai pas pu garder les
captures de WireShark, c'est *beaucoup* trop gros pour mon petit /var de
10GB



Il aurait fallu en garder un échantillon, au moins.
Publicité
Poster une réponse
Anonyme