Atack DNS



  • Bom dia pessoal, estou tendo atack DNS no meu servidor DNS.
    Estrutura:
    Tenho o Pfsence na ponta que redireciona para o DNS onde esta meu mailserver;

    O atack:
    tenho notado varias tentativas de atack, devido ao número volumoso de pacotes udp na porta 53 no meu servermail;
    criei uma regra no firewall do mailserver, palhativa, para tentar bloquear estas tentativas.segue abaixo exemplo tcpdump:
    .
    .
    .
    tcpdump -i eth0 -nv port 53
    11:29:26.036761 IP (tos 0x4, ttl 242, id 34829, offset 0, flags [none], proto: UDP (17), length: 61) 95.211.210.150.24505 > 192.168.0.5.53:  51434+ [1au] ANY? . (33)
    11:29:26.036800 IP (tos 0x4, ttl 242, id 34830, offset 0, flags [none], proto: UDP (17), length: 61) 95.211.210.150.24505 > 192.168.0.5.53:  51434+ [1au] ANY? . (33)
    11:29:26.037035 IP (tos 0x4, ttl 242, id 34831, offset 0, flags [none], proto: UDP (17), length: 61) 68.50.44.243.49640 > 192.168.0.5.53:  23965+ [1au] ANY? . (33)
    11:29:26.037060 IP (tos 0x4, ttl 242, id 34832, offset 0, flags [none], proto: UDP (17), length: 61) 68.50.44.243.49640 > 192.168.0.5.53:  23965+ [1au] ANY? . (33)
    11:29:26.012708 IP (tos 0x4, ttl 242, id 34824, offset 0, flags [none], proto: UDP (17), length: 61) 72.79.134.29.42629 > 192.168.0.5.53:  37626+ [1au] ANY? . (33)
    11:29:26.012751 IP (tos 0x4, ttl 242, id 34825, offset 0, flags [none], proto: UDP (17), length: 61) 72.79.134.29.42629 > 192.168.0.5.53:  37626+ [1au] ANY? . (33)
    11:29:26.024856 IP (tos 0x4, ttl 242, id 47152, offset 0, flags [none], proto: UDP (17), length: 61) 62.141.236.255.42344 > 192.168.0.5.53:  1598+ [1au] ANY? . (33)
    11:29:26.024884 IP (tos 0x4, ttl 242, id 47153, offset 0, flags [none], proto: UDP (17), length: 61) 62.141.236.255.42344 > 192.168.0.5.53:  1598+ [1au] ANY? . (33)
    11:29:25.982733 IP (tos 0x4, ttl 242, id 34528, offset 0, flags [none], proto: UDP (17), length: 61) 188.66.67.238.41249 > 192.168.0.5.53:  30304+ [1au] ANY? . (33)
    11:29:25.982759 IP (tos 0x4, ttl 242, id 34529, offset 0, flags [none], proto: UDP (17), length: 61) 188.66.67.238.41249 > 192.168.0.5.53:  30304+ [1au] ANY? . (33)
    11:29:25.568776 IP (tos 0x4, ttl 242, id 46533, offset 0, flags [none], proto: UDP (17), length: 61) 178.217.186.105.1594 > 192.168.0.5.53:  3839+ [1au] ANY? . (33)
    11:29:25.574775 IP (tos 0x4, ttl 242, id 34508, offset 0, flags [none], proto: UDP (17), length: 61) 188.66.67.238.21486 > 192.168.0.5.53:  2949+ [1au] ANY? . (33)
    .
    .
    .
    Verifico com : tcpdump -E -n -vv -XX -s 0 'udp' -i eth0,  pego uma parte da hexadecimal do ip que esta tentando conectar, a parte em negrito, como abaixo:

    11:35:17.945626 IP (tos 0x4, ttl 242, id 188, offset 0, flags [none], proto: UDP (17), length: 61) host-62-141-236-255.tomaszow.mm.pl.42179 > xxxxxxxxx-domain: [udp sum ok]  39837+ [1au] ANY? . ar: . OPT UDPsize=9000 (33)
            0x0000:  001a 4da0 2138 0022 4d88 c085 0800 4504  ..M.!8."M…..E.
            0x0010:  003d 00bc 0000 f211 dbb5 3e8d ecff c0a8  .=........>.....
            0x0020:  0005 a4c3 0035 0029 ae77 9b9d 0100 0001  .....5.).w......
            0x0030:  0000 0000 0001 0000 ff00 0100 0029 2328  …..........)#(
            0x0040:  0000 0000 0000 0000 0000 00              …........

    e incluo na regra abaixo:
    criei no firewall a seguinte regra:

    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -I INPUT -p udp -m string --hex-string "|0000 0001 0000 ff00 0100 0029 2328 0000|" --algo bm --dport 53 -j DROP
    iptables -I INPUT -p udp --dport 53 -m string --from 50 --algo bm --hex-string "|ff00 0100 0029 2328|" -m recent --name dnsanyquery --rcheck --seconds 10 --hitcount 4 -j DROP
    iptables -I INPUT -p udp --dport 53 -m string --from 50 --algo bm --hex-string "|ff00 0100 0029 2328|" -m recent --set --name dnsanyquery

    no meu mailserver, é a unica coisa que esta dropando estes ips;
    Quero implementar algo na ponta , no Pfsence, antes de entrar e bater no mailserver, tem só regrinha basica;
    Tem como?
    HELP-ME
    Agradecido desde já.



  • Só via snort nesta situação…



  • Buenas msgoulartrs,

    Estes dias também tive problemas com ataques em meu servidor DNS, notei
    que todos os ataques vinham da Rússia, instalei o pacote pfBloker e fiz um
    bloqueio por pais, com isso consegui resolver meu problema.
    Vi que estes ips são de lugares como Polônia, Holanda e Estados Unidos.
    Não sei da tua necessidade de aceitar conexões destes países, mas se não
    houver acho que o pfBloker seria uma opção para teu problema.



  • @FabianVitali:

    Buenas msgoulartrs,

    Estes dias também tive problemas com ataques em meu servidor DNS, notei
    que todos os ataques vinham da Rússia, instalei o pacote pfBloker e fiz um
    bloqueio por pais, com isso consegui resolver meu problema.
    Vi que estes ips são de lugares como Polônia, Holanda e Estados Unidos.
    Não sei da tua necessidade de aceitar conexões destes países, mas se não
    houver acho que o pfBloker seria uma opção para teu problema.

    Boa dica!



  • Boa dica +1 e bem lembrado.

    O pfblocker é um excelente pacote  ;)


Log in to reply