Atack DNS

msgoulartrs

Bom dia pessoal, estou tendo atack DNS no meu servidor DNS.
Estrutura:
Tenho o Pfsence na ponta que redireciona para o DNS onde esta meu mailserver;

O atack:
tenho notado varias tentativas de atack, devido ao número volumoso de pacotes udp na porta 53 no meu servermail;
criei uma regra no firewall do mailserver, palhativa, para tentar bloquear estas tentativas.segue abaixo exemplo tcpdump:
.
.
.
tcpdump -i eth0 -nv port 53
11:29:26.036761 IP (tos 0x4, ttl 242, id 34829, offset 0, flags [none], proto: UDP (17), length: 61) 95.211.210.150.24505 > 192.168.0.5.53:  51434+ [1au] ANY? . (33)
11:29:26.036800 IP (tos 0x4, ttl 242, id 34830, offset 0, flags [none], proto: UDP (17), length: 61) 95.211.210.150.24505 > 192.168.0.5.53:  51434+ [1au] ANY? . (33)
11:29:26.037035 IP (tos 0x4, ttl 242, id 34831, offset 0, flags [none], proto: UDP (17), length: 61) 68.50.44.243.49640 > 192.168.0.5.53:  23965+ [1au] ANY? . (33)
11:29:26.037060 IP (tos 0x4, ttl 242, id 34832, offset 0, flags [none], proto: UDP (17), length: 61) 68.50.44.243.49640 > 192.168.0.5.53:  23965+ [1au] ANY? . (33)
11:29:26.012708 IP (tos 0x4, ttl 242, id 34824, offset 0, flags [none], proto: UDP (17), length: 61) 72.79.134.29.42629 > 192.168.0.5.53:  37626+ [1au] ANY? . (33)
11:29:26.012751 IP (tos 0x4, ttl 242, id 34825, offset 0, flags [none], proto: UDP (17), length: 61) 72.79.134.29.42629 > 192.168.0.5.53:  37626+ [1au] ANY? . (33)
11:29:26.024856 IP (tos 0x4, ttl 242, id 47152, offset 0, flags [none], proto: UDP (17), length: 61) 62.141.236.255.42344 > 192.168.0.5.53:  1598+ [1au] ANY? . (33)
11:29:26.024884 IP (tos 0x4, ttl 242, id 47153, offset 0, flags [none], proto: UDP (17), length: 61) 62.141.236.255.42344 > 192.168.0.5.53:  1598+ [1au] ANY? . (33)
11:29:25.982733 IP (tos 0x4, ttl 242, id 34528, offset 0, flags [none], proto: UDP (17), length: 61) 188.66.67.238.41249 > 192.168.0.5.53:  30304+ [1au] ANY? . (33)
11:29:25.982759 IP (tos 0x4, ttl 242, id 34529, offset 0, flags [none], proto: UDP (17), length: 61) 188.66.67.238.41249 > 192.168.0.5.53:  30304+ [1au] ANY? . (33)
11:29:25.568776 IP (tos 0x4, ttl 242, id 46533, offset 0, flags [none], proto: UDP (17), length: 61) 178.217.186.105.1594 > 192.168.0.5.53:  3839+ [1au] ANY? . (33)
11:29:25.574775 IP (tos 0x4, ttl 242, id 34508, offset 0, flags [none], proto: UDP (17), length: 61) 188.66.67.238.21486 > 192.168.0.5.53:  2949+ [1au] ANY? . (33)
.
.
.
Verifico com : tcpdump -E -n -vv -XX -s 0 'udp' -i eth0,  pego uma parte da hexadecimal do ip que esta tentando conectar, a parte em negrito, como abaixo:

11:35:17.945626 IP (tos 0x4, ttl 242, id 188, offset 0, flags [none], proto: UDP (17), length: 61) host-62-141-236-255.tomaszow.mm.pl.42179 > xxxxxxxxx-domain: [udp sum ok]  39837+ [1au] ANY? . ar: . OPT UDPsize=9000 (33)
        0x0000:  001a 4da0 2138 0022 4d88 c085 0800 4504  ..M.!8."M…..E.
        0x0010:  003d 00bc 0000 f211 dbb5 3e8d ecff c0a8  .=........>.....
        0x0020:  0005 a4c3 0035 0029 ae77 9b9d 0100 0001  .....5.).w......
        0x0030:  0000 0000 0001 0000 ff00 0100 0029 2328  …..........)#(
        0x0040:  0000 0000 0000 0000 0000 00              …........

e incluo na regra abaixo:
criei no firewall a seguinte regra:

iptables -A INPUT -m state --state INVALID -j DROP
iptables -I INPUT -p udp -m string --hex-string "|0000 0001 0000 ff00 0100 0029 2328 0000|" --algo bm --dport 53 -j DROP
iptables -I INPUT -p udp --dport 53 -m string --from 50 --algo bm --hex-string "|ff00 0100 0029 2328|" -m recent --name dnsanyquery --rcheck --seconds 10 --hitcount 4 -j DROP
iptables -I INPUT -p udp --dport 53 -m string --from 50 --algo bm --hex-string "|ff00 0100 0029 2328|" -m recent --set --name dnsanyquery

no meu mailserver, é a unica coisa que esta dropando estes ips;
Quero implementar algo na ponta , no Pfsence, antes de entrar e bater no mailserver, tem só regrinha basica;
Tem como?
HELP-ME
Agradecido desde já.

marcelloc

Só via snort nesta situação…

FabianVitali

Buenas msgoulartrs,

Estes dias também tive problemas com ataques em meu servidor DNS, notei
que todos os ataques vinham da Rússia, instalei o pacote pfBloker e fiz um
bloqueio por pais, com isso consegui resolver meu problema.
Vi que estes ips são de lugares como Polônia, Holanda e Estados Unidos.
Não sei da tua necessidade de aceitar conexões destes países, mas se não
houver acho que o pfBloker seria uma opção para teu problema.

Andre Filho

@FabianVitali:

Buenas msgoulartrs,

Estes dias também tive problemas com ataques em meu servidor DNS, notei
que todos os ataques vinham da Rússia, instalei o pacote pfBloker e fiz um
bloqueio por pais, com isso consegui resolver meu problema.
Vi que estes ips são de lugares como Polônia, Holanda e Estados Unidos.
Não sei da tua necessidade de aceitar conexões destes países, mas se não
houver acho que o pfBloker seria uma opção para teu problema.

Boa dica!

marcelloc

Boa dica +1 e bem lembrado.

O pfblocker é um excelente pacote  ;)