DNS amplification source port 80
- mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
DNS amplification source port 80
Moin moin,
ich habe einen freien, caching-only DNS-Server mit "unbound" im Internet laufen. Mittels iptables habe ich verschiedene rate-Limite eingetragen, so dass ein Flooding von Anfragen unterbunden wird.
Ich sehe jedoch in den Logfiles, dass extrem viele UDP-Anfragen (an meinen DNS-Port 53) von Source-Ports 80 kommen. Normalerweise sind ja die Source-Ports eher Random-Zahlen, irgend etwas > 1024 und < 65336. Wer sendet DNS-Anfragen immer von Source-Port 80 raus? Sind das irgendwelche IoT-Geräte?
Danke und Gruss,
mistersixt.
ich habe einen freien, caching-only DNS-Server mit "unbound" im Internet laufen. Mittels iptables habe ich verschiedene rate-Limite eingetragen, so dass ein Flooding von Anfragen unterbunden wird.
Ich sehe jedoch in den Logfiles, dass extrem viele UDP-Anfragen (an meinen DNS-Port 53) von Source-Ports 80 kommen. Normalerweise sind ja die Source-Ports eher Random-Zahlen, irgend etwas > 1024 und < 65336. Wer sendet DNS-Anfragen immer von Source-Port 80 raus? Sind das irgendwelche IoT-Geräte?
Danke und Gruss,
mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: DNS amplification source port 80
Das ist meines Erachtens garkeine gute Idee - das mögen Internetprovider überhaupt nicht. Im schlimmsten Fall sperren die dir sogar den Zugang.mistersixt hat geschrieben:23.11.2018 11:44:40Moin moin,
ich habe einen freien, caching-only DNS-Server mit "unbound" im Internet laufen.
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]
Re: DNS amplification source port 80
Zwar OT, aber würde mich interessieren, auf welcher Grundlage das geschehen würde. Ich hab mal fix über meine Veträge geschaut: da ist nix, was eine solche Maßnahme rechtfertigen könnte.
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: DNS amplification source port 80
Habe das aus einer c't von 2017, Heft 21 mit einer tollen Anleitung für einen eigenen Unbound-Server.
Dort heißt es:
Dort heißt es:
Es empfiehlt sich danach, die Zugriffe auf das lokale (private) LAN zu beschränken und nicht aus dem Internet erlauben.... kann leicht auf den
Gedanken kommen, Unbound als einen
autoritativen DNS-Server zu nutzen und
Zugriffe aus dem Internet erlauben. Das
sollte man jedoch tunlichst unterlassen.
Unbound ist zuallererst ein DNS-
Resolver. Anders als bei BIND9 kann man
die Resolver-Funktion innerhalb einer
View nicht abschalten. Daher löst ein
Unbound-Resolver immer alle im Internet
erreichbaren Namen auf, die nicht mit-
©
162
dig wpad.home.arpa +short
tels lokaler Daten überlagert sind. So
können Angreifer einen aus dem Internet
erreichbaren Unbound-Resolver als po-
tenten Reflector für DNS-Angriffe miss-
brauchen.
Mitarbeiter des Open-Resolver-Pro-
jekts (http://openresolverproject.org/),
aber auch von den großen ISPs versu-
chen deshalb, offene Resolver aufzuspü-
ren und unschädlich zu machen – zum
Beispiel durch Abschalten des Internet-
Zugangs.
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]
Re: DNS amplification source port 80
Naja, dafür war ja das Rate-Limiting gedacht, denke ich. Wenn sie ’nen Inetzugang sperren, weil da eine Software läuft, die theoretisch für Angriffe genutzt werden könnte™, müssten sie auch alle Zugänge sperren, an denen IoSh*t-Devices oder Plastikrouter oder alte Windowsbüchsen oder wasauchimmer hängt.
On-Topic: ich würde eine der IPs hernehmen und mittels nmap schauen, was sich dahinter verbergen mag.
On-Topic: ich würde eine der IPs hernehmen und mittels nmap schauen, was sich dahinter verbergen mag.
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: DNS amplification source port 80
Muß aber nicht unbedingt sein. Ich selbst nutze auch meinen lokalen unbound durch einen VPN-Tunnel nach Hause (von dort geht's dann ins Heimetz auch weiter ins Internet). Das kann sogar der NetworkManager. Auf dem Client muß man im zugehörigen VPN-Profil nur unter
IPv4-Einstellungen -> Zusätzliche DNS-Server
den VPN-Endpunkt (der Server zu Hause) "10.8.0.1" eintragen. Bei Bedarf auch noch den heimischen Netzwerknamen als "Zusätzliche Suchdomäne" und es geht sicher und komfortabel. Sogar mit linphone kann ich dann über den heimischen Festnetzanschluß telefonieren.
Ach ja,
noch eine Idee zum Port 80 Traffic:
kann das sein dass irgendwer/irgendwas versucht, DNS über HTTP(S) zu sprechen und weil Port 443 nicht geht, es unverschlüsselt versucht?
IPv4-Einstellungen -> Zusätzliche DNS-Server
den VPN-Endpunkt (der Server zu Hause) "10.8.0.1" eintragen. Bei Bedarf auch noch den heimischen Netzwerknamen als "Zusätzliche Suchdomäne" und es geht sicher und komfortabel. Sogar mit linphone kann ich dann über den heimischen Festnetzanschluß telefonieren.
Ach ja,
noch eine Idee zum Port 80 Traffic:
kann das sein dass irgendwer/irgendwas versucht, DNS über HTTP(S) zu sprechen und weil Port 443 nicht geht, es unverschlüsselt versucht?
Zuletzt geändert von ingo2 am 23.11.2018 22:12:16, insgesamt 1-mal geändert.
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]
Re: DNS amplification source port 80
Die Idee hatte ich auch, aber verworfen: Das hätte 80 als Zielport, hier ist’s der Quellport.ingo2 hat geschrieben:23.11.2018 21:49:48kann das sein dass irgendwer/irgendwas versucht, DNS über HTTP(S) zu sprechen und weil Port 443 nicjht geht, es unverschlüsselt versucht?
Re: DNS amplification source port 80
Evtl. in der Hoffnung, über eine firewall zu kommen?niemand hat geschrieben: Das hätte 80 als Zielport, hier ist’s der Quellport.
'iptables ... -j ACCEPT ... -m multiport --ports 80 ...'
gäbe Zugang für Quell- oder Zielport 80
("unscharf" gesetzt um internen und externen http zu ermöglichen) ,
also auch 80->53, obwohl später Zugriff von irgendwo auf internen Port 53 verweigert würde.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
- mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: DNS amplification source port 80
Ich habe schon seit Jahren einen freien NTP- (im Rahmen von ntppool.org) und DNS-Server (im Rahmen von OpenNIC.org) laufen und hatte noch nie Probleme, ich habe halt habe aber entsprechende Schutzmassnahmen aktiv (selbst ein Tor-Relay-Server hat noch nie Probleme bereitet).ingo2 hat geschrieben:23.11.2018 19:34:11Das ist meines Erachtens garkeine gute Idee - das mögen Internetprovider überhaupt nicht. Im schlimmsten Fall sperren die dir sogar den Zugang.mistersixt hat geschrieben:23.11.2018 11:44:40Moin moin,
ich habe einen freien, caching-only DNS-Server mit "unbound" im Internet laufen.
Aber darum geht es hier ja auch weniger... interessant sind die Source-Port-Anfragen von Port 80, ich überlege halt, diese Pakete perse zu blocken, weil ich es mir nicht so richtig erklären kann, wie das zustande kommt. Vielleicht tatsächlich ein Redirect/Natting von irgendwelchen Routern.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
Re: DNS amplification source port 80
Es ist gemeint, wenn Du via Internet DNS (Port 53) der Öffentlichkeit zur Verfügung stellst, dann wird das BSI irgendwann das feststellen und deinen ISP darauf hinwiesen, was zur Folge hat, dass Du von deinem ISP ein Schreiben bekommst.mistersixt hat geschrieben:24.11.2018 13:55:33Ich habe schon seit Jahren einen freien NTP- (im Rahmen von ntppool.org) und DNS-Server (im Rahmen von OpenNIC.org) laufen und hatte noch nie Probleme, ...
Aber Du hast ja keinen DNS-Server, der via Internet für die Öffentlichkeit zugänglich ist, oder?
Re: DNS amplification source port 80
OT: ich bau mir nun auch mal sowas drauf. Aus‘m Netz erreichbar, damit ich mit mobilen Geräten drauf zugreifen kann. Bin mal gespannt, was in diesem Brief dann stehen wird. In meinem Vertrag und in den AGB steht jedenfalls nicht „du darfst keinen öffentlich ereichbaren DNS-Server fahren“.
Re: DNS amplification source port 80
Hier so ein Beispiel für den UDP-Port 137:niemand hat geschrieben:24.11.2018 14:49:20Bin mal gespannt, was in diesem Brief dann stehen wird.
https://talk.plesk.com/threads/email-fr ... os.343361/
Ich finde auf die schnelle jetzt nichts bzgl. UDP-Port 53, aber ich habe in der Vergangenheit solche Hinweise auch bezgl. Port 53 schon gesehen, in diversen Foren.
Re: DNS amplification source port 80
BTW: Mit nping (oder gleichwertig) kann das jeder machen. Z. B.:mistersixt hat geschrieben:23.11.2018 11:44:40Wer sendet DNS-Anfragen immer von Source-Port 80 raus? Sind das irgendwelche IoT-Geräte?
Code: Alles auswählen
nping -c 10 --delay 1s --udp -g 80 -p 53 <IP-Adresse>
- mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: DNS amplification source port 80
Das ist jetzt nix Neues, dass man zur Not auch explizit den Soure-Port mit welchen Tools auch immer spezifizieren kann, aber hier geht es darum, dass teilweise grossflächig (von vielen(!) IPs parallel) und stossweise (immer mal für 30-60 Sekunden, dann wieder mit 1-2 Min. Pause) die DNS-Anfragen von Source-Port 80 (der vielen(!) IPs) kommen. Das wundert mich halt.mat6937 hat geschrieben:24.11.2018 15:06:04BTW: Mit nping (oder gleichwertig) kann das jeder machen. Z. B.:mistersixt hat geschrieben:23.11.2018 11:44:40Wer sendet DNS-Anfragen immer von Source-Port 80 raus? Sind das irgendwelche IoT-Geräte?Code: Alles auswählen
nping -c 10 --delay 1s --udp -g 80 -p 53 <IP-Adresse>
Doch, sonst wäre es ja kein freier, caching-only DNS-Server . Und glaub mir, ich weiss was ich da tue, lass das mal meine Sorgen sein .mat6937 hat geschrieben:Aber Du hast ja keinen DNS-Server, der via Internet für die Öffentlichkeit zugänglich ist, oder?
Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
Re: DNS amplification source port 80
Sehr schön. Kannst Du dann bitte, die IP-Adresse deines DNS-Servers hier posten (veröffentlichen) damit ich und andere Interessenten, diesen auch nutzen können?
- mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: DNS amplification source port 80
Ja, klar:mat6937 hat geschrieben:25.11.2018 13:06:44Sehr schön. Kannst Du dann bitte, die IP-Adresse deines DNS-Servers hier posten (veröffentlichen) damit ich und andere Interessenten, diesen auch nutzen können?
DNS ipv4: 94.16.114.254#53
DNS ipv6: 2a03:4000:28:365::#53
DNS-over-TLS ipv4: 94.16.114.254#853
DNS-over-TLS ipv6: 2a03:4000:28:365::#853
DNS-over-TLS: tls-auth "jabber-germany.de", sha256 digest "D205kApAyfoXP5YQA8XzW4HnMCDrVrGF6a6Cy1bdBQg="
NTP ipv4: 94.16.114.254#123
NTP ipv6: 2a03:4000:28:365::#123
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: DNS amplification source port 80
Die Idee mit DNS over TLS finde ich gut und auch der Hoster ist ausgesprochen günstig.
Aber wie steht es da mit der Strecke zwischen deinem unbound und dem "recusive resolver", der ja letzlich die Auflösung macht, cached und via Root-Key verifiziert? Falls das unsicher bzw. zensiert ist, hast du ja nix gewonnen.
Aber wie steht es da mit der Strecke zwischen deinem unbound und dem "recusive resolver", der ja letzlich die Auflösung macht, cached und via Root-Key verifiziert? Falls das unsicher bzw. zensiert ist, hast du ja nix gewonnen.
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]
Re: DNS amplification source port 80
Code: Alles auswählen
2a03:4000:28:365::
So btw. ist die x::/64 auch eigentlich eine Anycast Addresse für einen beliebigen Router im Netz. Sollte kein Problem sein, weil du alleine im Netz bist aber eigentlich ist die erste Legitime Adresse für einen Host 2a03:4000:28:365::1.
Jup beim Preis macht Netcup keiner was vor. Hat aber auch seine Schattenseiten. Du willst z.B. nicht wirklich irgend was benutzen, dass auf die Platte schreibt.Hoster ist ausgesprochen günstig.
rot: Moderator wanne spricht, default: User wanne spricht.