Re: [ml] Attacchi al DNS

2016-09-18 Per discussione Marco Ermini 
Salve,

ci sono diverse marche di home routers (e.g. TPLINK) che mandano una
query a a.root-servers.net ogni tot second (e.g. ogni 30 secondi) per
verificare la connettività.

Per essere sicuro che sia questo il caso, logga qualche richiesta.
Apparentemente i TPLINK fanno sempre una richiesta per "1234".  Non so
se altre marche fanno cose simili.


Cordiali saluti

2016-09-15 11:26 GMT+02:00 Daniele Duca :
> On 13/09/16 17:25, Lorenzo Mainardi wrote:
>
> Buongiorno a tutti,
> gestisco un paio di server DNS caching per circa 10.000 utenti ADSL.
> Da un paio di settimane ho iniziato a monitorare le richieste DNS con ELK e
> mi sono accorto che circa il 25% di richieste sono richieste di tipo A che
> richiedono a.root-servers.net. Gli IP provengono da diversi indirizzi, senza
> una particolare distribuzione.
>
> Si tratta di un'attività anomala o è normale?
>
> Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti
> rimando ad un thread su dns-operations:
> https://lists.dns-oarc.net/pipermail/dns-operations/2012-March/008045.html
>
> TL;DR: potrebbero essere degli home router che si comportano in questo modo,
> o dei sistemi di monitoraggio, oppure qualche tipo di malware.
>
> Se hai delle informazioni piu' precise come la porta sorgente e query-id
> puoi fare qualche speculazione
>
> Che posso fare? è lecito bloccare sui miei server a.root-servers.net?
>
> Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di
> banda tieni conto che la risoluzione di a.root-servers.net rimane nella
> cache dei tuoi resolver per 4 ore.
>
> Ciao
> Daniele Duca



-- 
Marco Ermini



CISSP, CISA, CISM, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Attacchi al DNS

2016-09-15 Per discussione Lorenzo Mainardi 
Il giorno 15 settembre 2016 11:26, Daniele Duca  ha
scritto:

> Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti
> rimando ad un thread su dns-operations: https://lists.dns-oarc.net/
> pipermail/dns-operations/2012-March/008045.html
>
Grazie mille per la segnalazione della ML. Non la conoscevo e mi iscrivo
subito, le tematiche sono molto interessanti e utili per chi deve gestire
dei DNS.



> TL;DR: potrebbero essere degli home router che si comportano in questo
> modo, o dei sistemi di monitoraggio, oppure qualche tipo di malware.
>
> Se hai delle informazioni piu' precise come la porta sorgente e query-id
> puoi fare qualche speculazione
>


Purtroppo non ho la porta sorgente come informazione e neanche il query ID,
proverò a chiedere nella mailing list di unbound se è possibile loggare
anche questi parametri. Altrimenti, proverò a scriptare l'output di tcpdump
per estrarre questi dati. Dal MAC address del router posso anche ricavarne
con buona approssimazione la marca e quindi capire se si tratta di un
attacco o di un monitoraggio.



> Che posso fare? è lecito bloccare sui miei server a.root-servers.net?
>
> Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di
> banda tieni conto che la risoluzione di a.root-servers.net rimane nella
> cache dei tuoi resolver per 4 ore.
>

Il consumo di banda mi preoccupa relativamente, come dicevi te una volta
messo in cache non è necessario richiederlo.
La mia paura era quella di essere parte di un DDoS amplification attack o
simili verso i root server.


-- 
LORENZO MAINARDI
http://blog.mainardi.me

Re: [ml] Attacchi al DNS

2016-09-15 Per discussione Daniele Duca 

On 13/09/16 17:25, Lorenzo Mainardi wrote:


Buongiorno a tutti,
gestisco un paio di server DNS caching per circa 10.000 utenti ADSL.
Da un paio di settimane ho iniziato a monitorare le richieste DNS con 
ELK e mi sono accorto che circa il 25% di richieste sono richieste di 
tipo A che richiedono a.root-servers.net . 
Gli IP provengono da diversi indirizzi, senza una particolare 
distribuzione.


Si tratta di un'attività anomala o è normale?
Difficile da dirsi con certezza con le informazioni in tuo possesso. Ti 
rimando ad un thread su dns-operations: 
https://lists.dns-oarc.net/pipermail/dns-operations/2012-March/008045.html


TL;DR: potrebbero essere degli home router che si comportano in questo 
modo, o dei sistemi di monitoraggio, oppure qualche tipo di malware.


Se hai delle informazioni piu' precise come la porta sorgente e query-id 
puoi fare qualche speculazione
Che posso fare? è lecito bloccare sui miei server a.root-servers.net 
?


Non credo sia una buona idea. Se la tua preoccupazione e' il consumo di 
banda tieni conto che la risoluzione di a.root-servers.net rimane nella 
cache dei tuoi resolver per 4 ore.


Ciao
Daniele Duca

[ml] Attacchi al DNS

2016-09-13 Per discussione Lorenzo Mainardi 
Buongiorno a tutti,
gestisco un paio di server DNS caching per circa 10.000 utenti ADSL.
Da un paio di settimane ho iniziato a monitorare le richieste DNS con ELK e
mi sono accorto che circa il 25% di richieste sono richieste di tipo A che
richiedono a.root-servers.net. Gli IP provengono da diversi indirizzi,
senza una particolare distribuzione.

Si tratta di un'attività anomala o è normale?
Suppongo che nessuno (o quasi) dei miei clienti abbia un DNS ricorsivo in
casa.
Che posso fare? è lecito bloccare sui miei server a.root-servers.net?


-- 
LORENZO MAINARDI
http://blog.mainardi.me