[ Predrag Supurovic @ 26.06.2014. 00:49 ] @
Imam ruter sa staticnom javnom IP adresom i NAT na lokalnu mrezu.

Primetio sam veliki broj upita sa internet na na javnu ip adresu rutera na DNS port. Upiti dolaze sa nekoliko desetina IP adresa a svi salju DNS upit za domen bang.zong.co.ua. Frekvencija upita je oko dvadesetak u sekundi.

Iako te konekcije ne prolaze u ruter vec danima traju konstantni pokusaji.

Na internetu sam nasao da se adresa bang.zong.co.ua povezuje sa honey-potovima.

Nije mi jasno cemu ovo sluzi? Neki trojanci pokusavaju da koriste moj ruter kao DNS da resolviraju ovu adresu? Nikakvih drugih nekontrolisanih pokusaja konekcija na ruter nema sem ovih na DNS.

Ova IP adresa je skoro dobijena od provajdera. Mozda je prethodno bila dodeljena nekome ko ju je koristio aktivno za nekakav DNS serer pa su sada trojanci nastavili da pokusavaju da koriste isti IP?

Sto ne odustaju ako vec danima nista ne mogu da dobiju od ovog IP jer ruter odbija sve te konekcije?

Jadna od IP adresa sa koje je dosao dNS upit je i 8.8.8.8 (Google public DNS) tako d ami izgled ako da je ova IP koja je dodeljena ruteru negde navedena kao DNS server i da je to razlgo sto se ove konekciej pojavljuju. Nisam uspeo da nadjem u kojoj DNS zoni se pojavljuje ova IP kao NS.
[ B3R1 @ 26.06.2014. 14:10 ] @
Jesi li probao da nekako snimis taj DNS saobracaj i utvrdis da li se radi o upitima ili odgovorima? Naravno ako je to ikako moguce ...

Meni to ovako na prvi pogled lici na reflektivni DNS DDoS napad ili na neko njuskanje kako bi otkrili da li se tvoj ruter ponasa kao otvoreni DNS resolver (kako bi kasnije bio zloupotrebljen za reflektivni napad). Mnogi kucni ruteri se ponasaju tako i predstavljaju sigurnosne rupetine.

Takodje mi u oci upada 8.8.8.8, sto mi je krajnje sumnjivo, jer Google Public DNS nikada ne koristi tu adresu za rekurzivne upite ka autoritativnim serverima. Kada koristis njihov servis i podesis da ti je DNS = 8.8.8.8, tvoj racunar ce slati upite ka toj adresi i primati odgovore sa nje. Medjutim, Google ce rekurziju slati sa drugih adresa, sto lepo moze da se vidi ako kazes:

dig whoami.akamai.net @8.8.8.8 ili
host whoami.akamai.net 8.8.8.8

Primer:

$ dig whoami.akamai.net @8.8.8.8

; <<>> DiG 9.6-ESV-R4-P3 <<>> whoami.akamai.net @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61025
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;whoami.akamai.net. IN A

;; ANSWER SECTION:
whoami.akamai.net. 163 IN A 74.125.18.211

;; Query time: 6 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jun 26 15:04:17 2014
;; MSG SIZE rcvd: 51

Kao sto vidis, Google je u ovom primeru primio tvoj upit na 8.8.8.8 a poslao ga ka Akamai test-serveru sa adrese 74.125.18.211.

Vise informacija o veoma korisnom servisu whoami.akamai.net mozes da vidis ovde. Slanjem A? upita na whoami.akamai.net vraca ti se odgovor sa IP adresom odakle je upit stigao, sto moze da bude korisno za troubleshooting raznih DNS konfiguracija. Moja jedina zamerka je sto nisu omogucili taj servis i za IPv6 upite/odgovore ...

[Ovu poruku je menjao B3R1 dana 26.06.2014. u 15:23 GMT+1]
[ Predrag Supurovic @ 27.06.2014. 08:41 ] @
Radi se o dolaznim upitima za domen bang.zong.co.ua upucenim na DNS na mom ruteru.

Ako na ruteru omogucim pristup DNS frowarderu sa Interneta on primi upit i odradi sve sto treba da odradi.

8.8.8.8 je i mene bas zacudila. SVe ostalo ukayuje na neku igrariju trojanaca sa DNS-om ali taj 8.8.8.8 odskace.

Nju sam uhvatio kada sam na ruteru namestio da uz pomoc Layer7 filera hvata sve dolazne konekcije koje sadrze bang.zong.co.ua. To bi trebalo da hvata smo upite upucene ruteru ali ne iskljucujem da sam mozda tada nesto zeznuo pa da je uhvacena i neka odlazna konekcija.

Evo za oko 24 sata, ruter je zabelezio pokusaje DNS upita sa preko dve hiljade IP adresa.

Ako zanemarimo 8.8.8.8 ovo mi najvise lici kao da trojanci pokusavaju da koriste sve moguce otvorene DNS-ove. Samo mi nije jasno sto ne odustaju kada je ocigledno da na ovom ruteru nece proci.

Posto ima na raspolaganju josjavih IP u istom opsegu, najverovatnije cu da promenim javnu IP adresu rutera da ga rasteretim i od dropovanja ovih nepotrebnih konekcija.
[ B3R1 @ 27.06.2014. 13:50 ] @
Kad malo bolje razmislim - taj 8.8.8.8 i nije greska. On je zapravo bio meta napada. Mada je glupost uopste pokusati tako nesto, s obizrom da je 8.8.8.8 anycast adresa koju koriste stotine DNS servera, tako da je efekat takvog napada relativno mali.

Kod reflektivnog DNS napada botovi lansiraju na hiljade spoofovanih DNS upita ka potencijalno otvorenim DNS resolverima, u kojima source IP adresa odgovara adresi mete napada. Najcesce se biraju kucni ruteri, jer vecina starijih rutera ima otvorene resolvere na spoljasnjem interfejsu u default konfiguraciji. DNS upiti su najcesce tipa ANY (QCLASS=RRTYPE=255), a domeni koji se javljaju u DNS upitima (poput tog bang.zong.co.ua) su tzv. "honeypots" (vidi: http://www.nothink.org/honeypot_dns.php) - oni su izabrani zato sto njihovi autoritativni serveri vracaju ogromne odgovore. Pri tome se obicno u upitima ukljuci i EDNS0, kako bi serveri vracali odogovre u velikim paketima.
[ Predrag Supurovic @ 01.07.2014. 13:26 ] @
Jos uvek nije prestalo.

Za pet dana uhvatio sam upite sa preko 10000 adresa.

Medju njima je 1.1.1.1 koji propada Google-u a interesantne su i 1.3.3.7 (u Kini) i 2.2.2.2 (Nemacka)

[ B3R1 @ 01.07.2014. 14:32 ] @
Hm, mozda i drugi korisnici to primaju, ali si ti jedini koji je to primetio. :-) Meni se cini da je neko ceo provajderov opseg stavio na listu otvorenih resolvera. Da li si probao da pretrazis ovu listu http://openresolverproject.org/ ?
[ Sleepless_mind @ 03.07.2014. 09:48 ] @
Primetio sam da se to desava vec neko vreme, pa sam pokusao da pohvatam IP adrese na mtiku, postavio fw pravila da pravi listu adresa i kasnije drop tu listu.
Desilo se da je za 2 nedelje lista bila sa preko 5 miliona adresa. Zanimljivo je da to script kiddies jos (opet) rade, mada je napad odlican, mali upit, a veliki odgovor :)
[ Predrag Supurovic @ 03.07.2014. 11:35 ] @
Na akativnom DNS sereru nije bas ni lako primeriti to jer on ionako stalno prima neke upite.

Ja sma slucajn primetio cudne zapise u DNs kesu pa sam se zainteresovao.

Evo juce mi se i sto pojavilo na drugom ruteru na drugoj lokaciji, i iako sam vec imao iskostvo na jednom ruteru, opet nisam odmah provalio da je ista stvar (samo salju upite za druge domene).
[ Mile-Lile @ 08.07.2014. 20:23 ] @
Skoro sam čuo za projekat Shodan. Više o tome može se pročitati ovde:
http://www.washingtonpost.com/...12/06/03/gJQAIK9KCV_story.html

čovek je svoje istraživanje predstavio i UNESCo-u
http://en.www.netexplo.org/rep...-john-matherly-usa-pour-shodan

ovo je njegov sajt
http://www.shodanhq.com/

Ako sam dobro razumeo, njegov tim mašina skenira čitave opsege 24 sata dnevno kako bi naišao na sigurnosne propuste(Telnet, MySQL, SSH, DNS) i onda te podatke pre objavljivanja koristi za istraživanje i prosleđuje nadležnima...
Posetio sam njegov sajt i kliknuo na "take a tour" da vidim šta zapravo čovek radi... logovao se sa lažnim google nalogom i ako sam dobro shvatio... komjuniti hakera prijavljuje webkamere, rutere itd koji imaju default passworde i sigurnosne propuste... u jednom delu su i DNS serveri koje Peđa spominje 1.1.1.1 itd.