DNS amplification source port 80

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

DNS amplification source port 80

Beitrag von mistersixt » 23.11.2018 11:44:40

Moin moin,

ich habe einen freien, caching-only DNS-Server mit "unbound" im Internet laufen. Mittels iptables habe ich verschiedene rate-Limite eingetragen, so dass ein Flooding von Anfragen unterbunden wird.

Ich sehe jedoch in den Logfiles, dass extrem viele UDP-Anfragen (an meinen DNS-Port 53) von Source-Ports 80 kommen. Normalerweise sind ja die Source-Ports eher Random-Zahlen, irgend etwas > 1024 und < 65336. Wer sendet DNS-Anfragen immer von Source-Port 80 raus? Sind das irgendwelche IoT-Geräte?

Danke und Gruss,

mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: DNS amplification source port 80

Beitrag von ingo2 » 23.11.2018 19:34:11

mistersixt hat geschrieben: ↑ zum Beitrag ↑
23.11.2018 11:44:40
Moin moin,

ich habe einen freien, caching-only DNS-Server mit "unbound" im Internet laufen.
Das ist meines Erachtens garkeine gute Idee - das mögen Internetprovider überhaupt nicht. Im schlimmsten Fall sperren die dir sogar den Zugang.

DeletedUserReAsG

Re: DNS amplification source port 80

Beitrag von DeletedUserReAsG » 23.11.2018 19:39:04

Zwar OT, aber würde mich interessieren, auf welcher Grundlage das geschehen würde. Ich hab mal fix über meine Veträge geschaut: da ist nix, was eine solche Maßnahme rechtfertigen könnte.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: DNS amplification source port 80

Beitrag von ingo2 » 23.11.2018 20:22:53

Habe das aus einer c't von 2017, Heft 21 mit einer tollen Anleitung für einen eigenen Unbound-Server.

Dort heißt es:
... kann leicht auf den
Gedanken kommen, Unbound als einen
autoritativen DNS-Server zu nutzen und
Zugriffe aus dem Internet erlauben. Das
sollte man jedoch tunlichst unterlassen.
Unbound ist zuallererst ein DNS-
Resolver. Anders als bei BIND9 kann man
die Resolver-Funktion innerhalb einer
View nicht abschalten. Daher löst ein
Unbound-Resolver immer alle im Internet
erreichbaren Namen auf, die nicht mit-
©
162
dig wpad.home.arpa +short
tels lokaler Daten überlagert sind. So
können Angreifer einen aus dem Internet
erreichbaren Unbound-Resolver als po-
tenten Reflector für DNS-Angriffe miss-
brauchen.
Mitarbeiter des Open-Resolver-Pro-
jekts (http://openresolverproject.org/),
aber auch von den großen ISPs versu-
chen deshalb, offene Resolver aufzuspü-
ren und unschädlich zu machen – zum
Beispiel durch Abschalten des Internet-
Zugangs.
Es empfiehlt sich danach, die Zugriffe auf das lokale (private) LAN zu beschränken und nicht aus dem Internet erlauben.

DeletedUserReAsG

Re: DNS amplification source port 80

Beitrag von DeletedUserReAsG » 23.11.2018 20:30:12

Naja, dafür war ja das Rate-Limiting gedacht, denke ich. Wenn sie ’nen Inetzugang sperren, weil da eine Software läuft, die theoretisch für Angriffe genutzt werden könnte™, müssten sie auch alle Zugänge sperren, an denen IoSh*t-Devices oder Plastikrouter oder alte Windowsbüchsen oder wasauchimmer hängt.

On-Topic: ich würde eine der IPs hernehmen und mittels nmap schauen, was sich dahinter verbergen mag.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: DNS amplification source port 80

Beitrag von ingo2 » 23.11.2018 21:49:48

Muß aber nicht unbedingt sein. Ich selbst nutze auch meinen lokalen Debianunbound durch einen VPN-Tunnel nach Hause (von dort geht's dann ins Heimetz auch weiter ins Internet). Das kann sogar der NetworkManager. Auf dem Client muß man im zugehörigen VPN-Profil nur unter
IPv4-Einstellungen -> Zusätzliche DNS-Server
den VPN-Endpunkt (der Server zu Hause) "10.8.0.1" eintragen. Bei Bedarf auch noch den heimischen Netzwerknamen als "Zusätzliche Suchdomäne" und es geht sicher und komfortabel. Sogar mit Debianlinphone kann ich dann über den heimischen Festnetzanschluß telefonieren.

Ach ja,
noch eine Idee zum Port 80 Traffic:
kann das sein dass irgendwer/irgendwas versucht, DNS über HTTP(S) zu sprechen und weil Port 443 nicht geht, es unverschlüsselt versucht?
Zuletzt geändert von ingo2 am 23.11.2018 22:12:16, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: DNS amplification source port 80

Beitrag von DeletedUserReAsG » 23.11.2018 22:06:07

ingo2 hat geschrieben: ↑ zum Beitrag ↑
23.11.2018 21:49:48
kann das sein dass irgendwer/irgendwas versucht, DNS über HTTP(S) zu sprechen und weil Port 443 nicjht geht, es unverschlüsselt versucht?
Die Idee hatte ich auch, aber verworfen: Das hätte 80 als Zielport, hier ist’s der Quellport.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: DNS amplification source port 80

Beitrag von rendegast » 24.11.2018 04:11:51

niemand hat geschrieben: Das hätte 80 als Zielport, hier ist’s der Quellport.
Evtl. in der Hoffnung, über eine firewall zu kommen?

'iptables ... -j ACCEPT ... -m multiport --ports 80 ...'
gäbe Zugang für Quell- oder Zielport 80
("unscharf" gesetzt um internen und externen http zu ermöglichen) ,
also auch 80->53, obwohl später Zugriff von irgendwo auf internen Port 53 verweigert würde.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: DNS amplification source port 80

Beitrag von mistersixt » 24.11.2018 13:55:33

ingo2 hat geschrieben: ↑ zum Beitrag ↑
23.11.2018 19:34:11
mistersixt hat geschrieben: ↑ zum Beitrag ↑
23.11.2018 11:44:40
Moin moin,

ich habe einen freien, caching-only DNS-Server mit "unbound" im Internet laufen.
Das ist meines Erachtens garkeine gute Idee - das mögen Internetprovider überhaupt nicht. Im schlimmsten Fall sperren die dir sogar den Zugang.
Ich habe schon seit Jahren einen freien NTP- (im Rahmen von ntppool.org) und DNS-Server (im Rahmen von OpenNIC.org) laufen und hatte noch nie Probleme, ich habe halt habe aber entsprechende Schutzmassnahmen aktiv (selbst ein Tor-Relay-Server hat noch nie Probleme bereitet).

Aber darum geht es hier ja auch weniger... interessant sind die Source-Port-Anfragen von Port 80, ich überlege halt, diese Pakete perse zu blocken, weil ich es mir nicht so richtig erklären kann, wie das zustande kommt. Vielleicht tatsächlich ein Redirect/Natting von irgendwelchen Routern.

Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

mat6937
Beiträge: 2931
Registriert: 09.12.2014 10:44:00

Re: DNS amplification source port 80

Beitrag von mat6937 » 24.11.2018 14:38:15

mistersixt hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 13:55:33
Ich habe schon seit Jahren einen freien NTP- (im Rahmen von ntppool.org) und DNS-Server (im Rahmen von OpenNIC.org) laufen und hatte noch nie Probleme, ...
Es ist gemeint, wenn Du via Internet DNS (Port 53) der Öffentlichkeit zur Verfügung stellst, dann wird das BSI irgendwann das feststellen und deinen ISP darauf hinwiesen, was zur Folge hat, dass Du von deinem ISP ein Schreiben bekommst.

Aber Du hast ja keinen DNS-Server, der via Internet für die Öffentlichkeit zugänglich ist, oder?

DeletedUserReAsG

Re: DNS amplification source port 80

Beitrag von DeletedUserReAsG » 24.11.2018 14:49:20

OT: ich bau mir nun auch mal sowas drauf. Aus‘m Netz erreichbar, damit ich mit mobilen Geräten drauf zugreifen kann. Bin mal gespannt, was in diesem Brief dann stehen wird. In meinem Vertrag und in den AGB steht jedenfalls nicht „du darfst keinen öffentlich ereichbaren DNS-Server fahren“.

mat6937
Beiträge: 2931
Registriert: 09.12.2014 10:44:00

Re: DNS amplification source port 80

Beitrag von mat6937 » 24.11.2018 15:02:09

niemand hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 14:49:20
Bin mal gespannt, was in diesem Brief dann stehen wird.
Hier so ein Beispiel für den UDP-Port 137:

https://talk.plesk.com/threads/email-fr ... os.343361/

Ich finde auf die schnelle jetzt nichts bzgl. UDP-Port 53, aber ich habe in der Vergangenheit solche Hinweise auch bezgl. Port 53 schon gesehen, in diversen Foren.

mat6937
Beiträge: 2931
Registriert: 09.12.2014 10:44:00

Re: DNS amplification source port 80

Beitrag von mat6937 » 24.11.2018 15:06:04

mistersixt hat geschrieben: ↑ zum Beitrag ↑
23.11.2018 11:44:40
Wer sendet DNS-Anfragen immer von Source-Port 80 raus? Sind das irgendwelche IoT-Geräte?
BTW: Mit nping (oder gleichwertig) kann das jeder machen. Z. B.:

Code: Alles auswählen

nping -c 10 --delay 1s --udp -g 80 -p 53 <IP-Adresse>

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: DNS amplification source port 80

Beitrag von mistersixt » 25.11.2018 11:59:52

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 15:06:04
mistersixt hat geschrieben: ↑ zum Beitrag ↑
23.11.2018 11:44:40
Wer sendet DNS-Anfragen immer von Source-Port 80 raus? Sind das irgendwelche IoT-Geräte?
BTW: Mit nping (oder gleichwertig) kann das jeder machen. Z. B.:

Code: Alles auswählen

nping -c 10 --delay 1s --udp -g 80 -p 53 <IP-Adresse>
Das ist jetzt nix Neues, dass man zur Not auch explizit den Soure-Port mit welchen Tools auch immer spezifizieren kann, aber hier geht es darum, dass teilweise grossflächig (von vielen(!) IPs parallel) und stossweise (immer mal für 30-60 Sekunden, dann wieder mit 1-2 Min. Pause) die DNS-Anfragen von Source-Port 80 (der vielen(!) IPs) kommen. Das wundert mich halt.
mat6937 hat geschrieben:Aber Du hast ja keinen DNS-Server, der via Internet für die Öffentlichkeit zugänglich ist, oder?
Doch, sonst wäre es ja kein freier, caching-only DNS-Server ;) . Und glaub mir, ich weiss was ich da tue, lass das mal meine Sorgen sein :) .

Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

mat6937
Beiträge: 2931
Registriert: 09.12.2014 10:44:00

Re: DNS amplification source port 80

Beitrag von mat6937 » 25.11.2018 13:06:44

mistersixt hat geschrieben: ↑ zum Beitrag ↑
25.11.2018 11:59:52
Doch, sonst wäre es ja kein freier, ...
Sehr schön. Kannst Du dann bitte, die IP-Adresse deines DNS-Servers hier posten (veröffentlichen) damit ich und andere Interessenten, diesen auch nutzen können?

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: DNS amplification source port 80

Beitrag von mistersixt » 25.11.2018 16:41:35

mat6937 hat geschrieben: ↑ zum Beitrag ↑
25.11.2018 13:06:44
mistersixt hat geschrieben: ↑ zum Beitrag ↑
25.11.2018 11:59:52
Doch, sonst wäre es ja kein freier, ...
Sehr schön. Kannst Du dann bitte, die IP-Adresse deines DNS-Servers hier posten (veröffentlichen) damit ich und andere Interessenten, diesen auch nutzen können?
Ja, klar:

DNS ipv4: 94.16.114.254#53
DNS ipv6: 2a03:4000:28:365::#53
DNS-over-TLS ipv4: 94.16.114.254#853
DNS-over-TLS ipv6: 2a03:4000:28:365::#853
DNS-over-TLS: tls-auth "jabber-germany.de", sha256 digest "D205kApAyfoXP5YQA8XzW4HnMCDrVrGF6a6Cy1bdBQg="
NTP ipv4: 94.16.114.254#123
NTP ipv6: 2a03:4000:28:365::#123
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: DNS amplification source port 80

Beitrag von ingo2 » 25.11.2018 17:33:08

Die Idee mit DNS over TLS finde ich gut und auch der Hoster ist ausgesprochen günstig.

Aber wie steht es da mit der Strecke zwischen deinem Debianunbound und dem "recusive resolver", der ja letzlich die Auflösung macht, cached und via Root-Key verifiziert? Falls das unsicher bzw. zensiert ist, hast du ja nix gewonnen.

wanne
Moderator
Beiträge: 7450
Registriert: 24.05.2010 12:39:42

Re: DNS amplification source port 80

Beitrag von wanne » 28.11.2018 01:51:37

Code: Alles auswählen

2a03:4000:28:365::
Die hat irgend wie Schluckauf. Mal tut sie mal nicht.
So btw. ist die x::/64 auch eigentlich eine Anycast Addresse für einen beliebigen Router im Netz. Sollte kein Problem sein, weil du alleine im Netz bist aber eigentlich ist die erste Legitime Adresse für einen Host 2a03:4000:28:365::1.
Hoster ist ausgesprochen günstig.
Jup beim Preis macht Netcup keiner was vor. Hat aber auch seine Schattenseiten. Du willst z.B. nicht wirklich irgend was benutzen, dass auf die Platte schreibt.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten