Fórumok
Eredetileg azért kapcsoltam be az ns query naplózást, mert jött be egy csomó ilyen:
Aug 5 17:11:25 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug 5 17:11:25 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug 5 17:11:26 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug 5 17:11:26 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug 5 17:11:38 ns1 named[9331]: client @0x7f99301011b0 54.38.152.190#22003 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug 5 17:11:38 ns1 named[9331]: client @0x7f99301011b0 54.38.152.190#22003 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug 5 17:11:40 ns1 named[9331]: client @0x7f99301011b0 54.38.152.190#22003 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug 5 17:11:40 ns1 named[9331]: client @0x7f99301011b0 54.38.152.190#22003 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug 5 17:11:40 ns1 named[9331]: client @0x7f993011e0d0 54.38.152.190#22003 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug 5 17:11:40 ns1 named[9331]: client @0x7f993011e0d0 54.38.152.190#22003 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug 5 17:11:47 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug 5 17:11:47 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
és erre állítottam be fail2ban-t. Utána elkezdtem nézegetni hogy milyen kérések jönnek még be. Nagyon megleődtem amikor láttam ezeket:
05-Aug-2021 17:16:49.873 queries: client @0x7f993010f940 84.2.227.134#21851 (UPDATeS.MESS.hU): query: UPDATeS.MESS.hU IN A -E(0)DC (207.180.199.54) 17:17:44.472 queries: client @0x7f993011e0d0 84.2.42.16#56704 (upDATES.MeSs.hU): query: upDATES.MeSs.hU IN AAAA -E(0)DC (207.180.199.54)
05-Aug-2021 17:17:45.224 queries: client @0x7f993011e0d0 84.2.227.132#12372 (UpdATeS.MESs.HU): query: UpdATeS.MESs.HU IN AAAA -E(0)DC (207.180.199.54)
05-Aug-2021 17:17:45.654 queries: client @0x7f993011e0d0 84.2.227.132#54276 (UpdaTES.mEss.hu): query: UpdaTES.mEss.hu IN AAAA -E(0)DC (207.180.199.54)
Mindenféle kombinációban érkeznek be random kis/nagybetűsre konvertált domain nevekre kérések folyamatosan. A forrás cím "magyar telekom" terlületről származik. De nem egyetlen IP, hanem egy egész tartományból.
Nem csak erre a subdomain-re csinálja, hanem mindenféle aldomain-re.
Ki csinálhat ilyet, és mit remél tőle? Mire jó ez? :-)
Hozzászólások
ezt én is néztem pár napja...
Cél lehet akár DNS túlterhelés akár a 13 bit információ hazaküldése per kérés, olyan csatornán amit szinte semmi nem fog meg. Attól függ te melyik végén vagy :)
Aha, lehet hogy egy nagyon trükkös DNS amplification támadás. Az a gond, hogy olyan kéréseket küld be, aminek ez a szerver az primary DNS szervere. Az ilyen kéréseket ugyebár nem tilthatom le csak úgy.
Mit lehet ezzel kezdeni?
Hmm. Újat tanultam
Ezek szerint ez secu feature. És egyben jól tippeltem a pár bit mint "rejtett" infó kérdésben
Nálam is van bőven belőle, de nem akar összejönni a fail2ban regex, megköszönöm ha megosztod velem.
Oké szóval itt van a filter. Azt nézi, hogy a hostname részben van-e legalább 3 kisbetű és 3 nagybetű.
Namost ez igazából félig jó. Mivel az fqdn -ek valójában nem case sensitive-ek. :-) Szóval ha szigorúan vesszük, akkor ebből ELVILEG nem lehetne azt megtudni, hogy ez egy DNS amplification attack-e. A tökéletes az lenne, ha azt néznénk meg, hogy korábban ugyan erről az ip-ről ugyan erre a (case insensitive) domain-re jött-e be kérés néhány percen belül. De ilyet ugye nem lehet, mert a fail2ban (tudtommal) nem képes ilyen state-t tárolni és használni. Mindig csak az aktuális sort tudja elemezni, a korábbiaktól függetlenül.
A gyakorlatban szerintem jó lesz, most ezt látom:
Jó sok különböző IP-ről jönnek. :-(
Köszi szépen :)
Elkezdem számolni az ip-ket 60 db után gondoltam úgy, hogy jöhet a fail2ban.