Windows 2008 DNS server genereert 10mbit traffic

zaterdag 16 maart 2013 13:11

Acties:

0 Henk 'm!

Topicstarter

Onze windows 2008 sbs server (volledig gepatched) genereert sinds gister nacht zo'n 10mbit/s verkeer. (constant). Mijn server lijkt de server van spamhaus aan te vallen met een dos van dns querys.

Ik kwam hier vanmorgen achter, en heb direct de dns service stop gezet. Hierdoor zakte de hoeveelheid verkeer naar 0mbit (de server doet in het weekend bijna niets).

Omdat je natuurlijk toch DNS nodig hebt heb ik de service weer gestart en heb recursion disabled zodat er geen query's meer vanaf het internet gedaan konden worden. (my bad, i know)

Na deze actie verbruikt de server zo'n 3mbit/s, ik had de hoop dat na verloop van tijd (een uur of wat) het verkeer wel zou stoppen, maar het blijft door gaan.

Afbeeldingslocatie: http://i47.tinypic.com/t5hw5y.png

Afbeeldingslocatie: http://i47.tinypic.com/t5hw5y.png

Afbeeldingslocatie: http://i45.tinypic.com/dxllrr.png

Ik heb niet het idee dat de server gehackt is, ik heb het vermoeden dat er dns query's binnen komen vanaf gespoofte ip adressen, die mijn server vervolgens beantwoord richting de servers van spamhaus.

Wat kan ik nog meer doen om het helemaal af te blokken?

zaterdag 16 maart 2013 14:55

Acties:

0 Henk 'm!

CMD-Snake

Ik zou toch even controleren of je geen besmetting ergens hebt op je netwerk (van de server en/of clients). Als je aan het DDoSsen bent heb je toch kans dat een van je machines lid is van een botnet. Het lijkt mij het beste om dit uit te sluiten.

Download een tooltje als Hitman Pro en controleer daar je machines mee. Eerste keer is gratis en Hitman is behoorlijk goed. Het werkt ook op Windows Server. Let wel dat je de goede versie kiest, x86 of x64.

zaterdag 16 maart 2013 15:37

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Als ik je grafiekje bekijk, zie ik 10 Mbps inbound traffic. Tenzij je MRTG verkeerdom gedefinieerd hebt, lijkt het me waarschijnlijker dat je slachtoffer bent van een DDOS

QnJhaGlld2FoaWV3YQ==

zaterdag 16 maart 2013 15:40

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Besturingssystemen

Het lijkt er op dat je servers gebruikt worden in een DNS-amplification-aanval. Die zijn momenteel erg populair. Een DNS-query is maar klein, het antwoord veel groter, zeker als DNSSEC aan staat. De truuk is dus om DNS-queries te doen met een vervalst afzenderadres. Het veel grotere antwoord gaat naar deze valse afzender die zo overbelast raakt.

https://www.sidn.nl/nieuw...eschikbaar-en-innovatief/
http://technet.microsoft.com/en-us/security/hh972393.aspx
http://www.openminds.be/b...-wat-kan-ik-ertegen-doen/

Op mijn werk hebben we een filters opgenomen in onze iptables-firewall die zeer selectief DNS-queries blokkeren die we niet vertrouwen.

Ik weet niet zeker of jij hier last van heb, maar de kans is aanzienlijk. Dit soort aanvallen zijn een groot probleem dus heel goed dat je het hebt opgemerkt en er wat aan doet.

[ Voor 10% gewijzigd door CAPSLOCK2000 op 16-03-2013 15:42 ]

This post is warranted for the full amount you paid me for it.

zaterdag 16 maart 2013 15:48

Acties:

0 Henk 'm!

_Arthur

blub

nasdude schreef op zaterdag 16 maart 2013 @ 13:11:
Wat kan ik nog meer doen om het helemaal af te blokken?

Je DNS server (port 53 udp&tcp) dicht zetten voor niet-lokaal verkeer.

Of host je ook je eigen publiekelijke DNS zones op je server?

[ Voor 12% gewijzigd door _Arthur op 16-03-2013 15:48 ]

zaterdag 16 maart 2013 21:24

Acties:

0 Henk 'm!

nasdude

Topicstarter

Brahiewahiewa schreef op zaterdag 16 maart 2013 @ 15:37:
Als ik je grafiekje bekijk, zie ik 10 Mbps inbound traffic. Tenzij je MRTG verkeerdom gedefinieerd hebt, lijkt het me waarschijnlijker dat je slachtoffer bent van een DDOS

even iets recht zettten, (ik probeer niet te bitchen, laat het aub niet zo overkomen)

Het grafiekje is komt uit rrdtool van tobi oetiker, ik gebruik cacti voor het meten van mijn stats.

Ik meet switchpoort 7 (eigenlijk een router poort op mijn mikrotik routerboard), ingaand verkeer van een machine is uitgaand verkeer op de switchpoort, je moet ze dus in je hoofd ff omdraaien, in dit geval is dus 'inboud' verkeer eigenlijk outbound.

zaterdag 16 maart 2013 21:27

Acties:

0 Henk 'm!

nasdude

Topicstarter

_Arthur schreef op zaterdag 16 maart 2013 @ 15:48:
[...]

Je DNS server (port 53 udp&tcp) dicht zetten voor niet-lokaal verkeer.

Of host je ook je eigen publiekelijke DNS zones op je server?

toevallig niet voor die server, in het colo netwerk draaien wel een aantal linux servers met bind, deze serveren wel publiekelijke zones. helaas is volledig dichtzetten van de poort geen optie.

ik heb trouwens hetzelfde aan de hand gehad, een week geleden, de directadmin installatie serveerde ook publieke zones (www.google.nl was bv direct opvraagbaar), dit heb ik aangepast naar alleen lokaal, en een rate limit via iptables ingesteld.

zaterdag 16 maart 2013 21:40

Acties:

0 Henk 'm!

nasdude

Topicstarter

CAPSLOCK2000 schreef op zaterdag 16 maart 2013 @ 15:40:
Het lijkt er op dat je servers gebruikt worden in een DNS-amplification-aanval. Die zijn momenteel erg populair. Een DNS-query is maar klein, het antwoord veel groter, zeker als DNSSEC aan staat. De truuk is dus om DNS-queries te doen met een vervalst afzenderadres. Het veel grotere antwoord gaat naar deze valse afzender die zo overbelast raakt.

https://www.sidn.nl/nieuw...eschikbaar-en-innovatief/
http://technet.microsoft.com/en-us/security/hh972393.aspx
http://www.openminds.be/b...-wat-kan-ik-ertegen-doen/

Op mijn werk hebben we een filters opgenomen in onze iptables-firewall die zeer selectief DNS-queries blokkeren die we niet vertrouwen.

Ik weet niet zeker of jij hier last van heb, maar de kans is aanzienlijk. Dit soort aanvallen zijn een groot probleem dus heel goed dat je het hebt opgemerkt en er wat aan doet.

Thanks!!!

het lijkt idd te kloppen wat hier staat, die openminds.be page geeft erg veel goede info, ik ga het allemaal heel goed doornemen en laat jullie nog even weten of alles nu is opgelost.

zaterdag 16 maart 2013 22:07

Acties:

0 Henk 'm!

nasdude

Topicstarter

Ik begon met 10mbit/sec, eerst heb ik de recursive lookup uitgezet op de dns server
resultaat: 3mbit/sec

vervolgens alle root dns servers uit de dns console weggegooit
resultaat: alles weg

maargoed, nu werkt dns resolution niet meer op de server zelf, dus bv mails zullen niet meer worden afgeleverd en windows update kan niet meer worden gedraaid (omdat name resolution niet meer werkt)

de oplossing: 2 dns servers instellen in je interface (127.0.0.1 (primary) en een publieke bv 8.8.8.8(secondarily))

een dns verzoek gaat nu eerst naar de lokale dns server, deze zal failen, de server pakt nu zijn sec. dns server *8.8.8.8* en krijgt wel resolution.

zaterdag 16 maart 2013 22:12

Acties:

0 Henk 'm!

redfoxert

Wat hebben je clients dan nu nog voor DNS resolving? Besef je wel dat die roothints er niet voor niks zijn en je domain clients de DNS server van je SBS server gebruiken voor DNS resolving. Dat heb je nu ook om zeep geholpen.

https://discord.com/invite/tweakers

zaterdag 16 maart 2013 22:30

Acties:

0 Henk 'm!

nasdude

Topicstarter

redfoxert schreef op zaterdag 16 maart 2013 @ 22:12:
Wat hebben je clients dan nu nog voor DNS resolving? Besef je wel dat die roothints er niet voor niks zijn en je domain clients de DNS server van je SBS server gebruiken voor DNS resolving. Dat heb je nu ook om zeep geholpen.

in dit geval betreft het een sbs server die rechtstreeks aan het internet (colocated) hangt, waar de clients hun eigen providers dns servers gebruiken. (een beetje rare opzet misschien, normaal hangt een sbs server in een kantoor netwerkje en is hij niet publiek bereikbaar), overigens geld bovenstaande oplossing niet alleen voor sbs servers, maar alle windows servers die publiekelijk bereikbaar zijn en dns services draaien

Als ik deze sbs server in een kantoor netwerk zou hebben hangen, dan zou de volledige server niet rechstreeks vanaf het internet te benaderen zijn.

het weghalen van de root dns servers heeft in dit geval dus geen negatieve effecten omdat niemand de server gebruikt voor het resolven van dns namen, behalve het domein van de server zelf

[ Voor 14% gewijzigd door nasdude op 16-03-2013 22:32 ]

zondag 17 maart 2013 13:12

Acties:

0 Henk 'm!

Turdie

redfoxert schreef op zaterdag 16 maart 2013 @ 22:12:
Wat hebben je clients dan nu nog voor DNS resolving? Besef je wel dat die roothints er niet voor niks zijn en je domain clients de DNS server van je SBS server gebruiken voor DNS resolving. Dat heb je nu ook om zeep geholpen.

Daar heb je DNS forwarders voor. Meestal stel ik zelf een forwarder in naar OpenDNS, of de DNS servers van je ISP. en haal ik de root hints weg. Het voordeel van OpenDNS vind ik zelf dat die behoorlijk wat security hebben ingebouwd in hun service

[ Voor 23% gewijzigd door Turdie op 17-03-2013 13:15 ]

zondag 17 maart 2013 18:47

Acties:

0 Henk 'm!

Razwer

shadowman12 schreef op zondag 17 maart 2013 @ 13:12:
[...]

Daar heb je DNS forwarders voor. Meestal stel ik zelf een forwarder in naar OpenDNS, of de DNS servers van je ISP. en haal ik de root hints weg. Het voordeel van OpenDNS vind ik zelf dat die behoorlijk wat security hebben ingebouwd in hun service .

en het nadeel is dat je altijd een reply krijgt, ook al bestaat de host niet, dan krijg je hun reclame bende voorgeschoteld. OpenDNS is kut.

Newton's 3rd law of motion. Amateur moraalridder.

zondag 17 maart 2013 20:44

Acties:

0 Henk 'm!

nasdude

Topicstarter

Razwer schreef op zondag 17 maart 2013 @ 18:47:
[...]

en het nadeel is dat je altijd een reply krijgt, ook al bestaat de host niet, dan krijg je hun reclame bende voorgeschoteld. OpenDNS is kut.

die van google is niet veel beter

geeft ze een extra manier om je surfgedrag te monitoren, ook de sites die geen link met google hebben

maandag 18 maart 2013 09:51

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Alias aangemaakt van SWS naar B&V.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 18 maart 2013 11:06

Acties:

0 Henk 'm!

Rolfie

de oplossing: 2 dns servers instellen in je interface (127.0.0.1 (primary) en een publieke bv 8.8.8.8(secondarily))

.
Hele foute oplossing.

. Vraag je daarna niets af wanneer je andere vreemde dingen gaat krijgen.

maar je SBS server hangt die direct aan het Internet, zonder extra firewalls die er voor hangen?
Want dan is het een kwestie van tijd voordat je hele server hackt is. Dit is namelijk iets wat je helemaal niet wilt hebben. De Windows Firewall helpt hier niet echt mee. Aangezien je die niet standaard zo bedoelt is.

[ Voor 7% gewijzigd door Rolfie op 18-03-2013 11:07 ]

maandag 18 maart 2013 17:33

Acties:

0 Henk 'm!

deadlock2k

nasdude schreef op zaterdag 16 maart 2013 @ 22:07:
een dns verzoek gaat nu eerst naar de lokale dns server, deze zal failen, de server pakt nu zijn sec. dns server *8.8.8.8* en krijgt wel resolution.

Dat is niet hoe DNS hoort te werken. Die tweede en derde server zijn niet voor het geval dat er geen resultaten komen bij de eerste server maar om te kunnen blijven resolven als de eerste server onbereikbaar is.

Pagina: 1

Reageer

Onderwerpen