Sampson Skrevet 30. januar 2015 Rapporter Del Skrevet 30. januar 2015 En bekjent har fått denne servert av CanalDigital: Vi har merket at på din internettlinje har det kommet inn en DDos angrep. Dette har skjedd pga at du har en DNS server (UDP 53) åpen for angrep. Du må stoppe programmet/tjenesten du har på pc'n ang dette. men så vidt jeg vet er jo UDP 53 åpen nettopp for å kunne ha kontakt med DNS server. Canal Digital skriver at DDOS angrepet kom utenifra, men ber om at eieren av nettet stenger program som bruker porten og eventuelt ser etter virus. Er det bare jeg som misforstår, eller er CanalDigital på jordet her? hvis UDP 53 stenges vil jo nettverket miste DNS? Er forresten et hjemmenettverk uten noen servere, kun Modem - Ruter - Bruker pc'er. Lenke til kommentar
j-- Skrevet 30. januar 2015 Rapporter Del Skrevet 30. januar 2015 Problemet er at noe på nettverket hans fungerer som en DNS-server, og svarer på DNS-forespørsler over internettlinja. * Har han en ruter, eller har han koblet en enkelt PC rett til modemet? * Hvilken ruter har han? Det er første lag3-enhet på nettverket som enten fungerer som DNS-server, eller som portforwarder UDP port 53 til en maskin på innsiden av ruteren som svarer opp DNS-forespørsler. Lenke til kommentar
Sampson Skrevet 30. januar 2015 Forfatter Rapporter Del Skrevet 30. januar 2015 Problemet er at noe på nettverket hans fungerer som en DNS-server, og svarer på DNS-forespørsler over internettlinja. * Har han en ruter, eller har han koblet en enkelt PC rett til modemet? * Hvilken ruter har han? Det er første lag3-enhet på nettverket som enten fungerer som DNS-server, eller som portforwarder UDP port 53 til en maskin på innsiden av ruteren som svarer opp DNS-forespørsler. Ruteren er en Asus RT-56U, jeg skal inn på den og sjekke om det ligger noe forwarding, men er ganske sikker på at det ikke er endret noe inne på ruteren. Lenke til kommentar
Nexx Skrevet 30. januar 2015 Rapporter Del Skrevet 30. januar 2015 Han hoster ingen ting? minecraft server, domene, webside, etc? Prøv å kjør en nslookup mot hans IP adresse Lenke til kommentar
kpolberg Skrevet 30. januar 2015 Rapporter Del Skrevet 30. januar 2015 Altså, CD ber om at du blokker innkommende forespørsler. Ikke utgående. Ingen tjenester som slutter å fungere av det(så fremt du da ikke kjører din egen nameserver for domener du eier, noe det ikke høres ut som). Lenke til kommentar
Sampson Skrevet 30. januar 2015 Forfatter Rapporter Del Skrevet 30. januar 2015 Altså, CD ber om at du blokker innkommende forespørsler. Ikke utgående. Ingen tjenester som slutter å fungere av det(så fremt du da ikke kjører din egen nameserver for domener du eier, noe det ikke høres ut som). Så det kan løses ved å blokkere UDP 53 i ruteren? og la TCP stå åpen? Lenke til kommentar
Kakeshoma Skrevet 30. januar 2015 Rapporter Del Skrevet 30. januar 2015 Det skal allerede være blokkert. All innkommende trafikk skal være blokkert. Sjekk først at porten ikke er åpnet, og at det ikke satt opp forwarding som foreslått over. Du kan feks scanne den eksterne IPen hans her: http://mxtoolbox.com/PortScan.aspxfor å se om porten er åpen. Lenke til kommentar
Sampson Skrevet 30. januar 2015 Forfatter Rapporter Del Skrevet 30. januar 2015 Takk! Skal få sjekket det når jeg får tak i IP og fjernstyring senere i dag. Lenke til kommentar
kpolberg Skrevet 30. januar 2015 Rapporter Del Skrevet 30. januar 2015 Så det kan løses ved å blokkere UDP 53 i ruteren? og la TCP stå åpen?DNS switcher over til tcp når spørringen ikke lenger passer inn i én udp pakke. Så nei, dette er ikke relatert til tcp / udp. Det du skal er som nevnt over her, blokkere all trafikk inn på port 53 på wan interfacet. Hvis du ikke har portforwarding som er nødvendig, kan du blokkere all innkommende trafikk på wan interfacet. Lenke til kommentar
007CD Skrevet 30. januar 2015 Rapporter Del Skrevet 30. januar 2015 Nå er det nok snakk om at han har en DNS server som svarer på forespørsler som ikke er hans domene. For eksempel en angriper sender en pakke til hans DNS server hvor han forespør IP'en til google.com og en del andre nettsider, og setter svar addressen på forespørselen til nettsiden angriperen vil DDoSe. Det som skjer er at DNS serveren er feilkonfigurert, den går da og forespør IP'en til alle domenene som er forespurt og sender svaret til addressen angriperen har satt opp, resultatet er at nettsiden blir oversvømt med svar. Så her burde han sjekke sin DNS server og sette denne til å kun svare på sitt domene, altså om det kommer en forespørsel til pc.meg.com så er DNS serveren hans kun ansvarlig for svar relatert til domenet meg.com og ikke google.com, forespørsler for google.com skal da forbli ubesvart. Lenke til kommentar
Sampson Skrevet 30. januar 2015 Forfatter Rapporter Del Skrevet 30. januar 2015 (endret) Det skal allerede være blokkert. All innkommende trafikk skal være blokkert. Sjekk først at porten ikke er åpnet, og at det ikke satt opp forwarding som foreslått over. Du kan feks scanne den eksterne IPen hans her: http://mxtoolbox.com/PortScan.aspxfor å se om porten er åpen. Her er da altså ståen: Venter fortsatt på tilgang til ruteren, så får vi se hvordan det ser ut. Endret 30. januar 2015 av Sampson Lenke til kommentar
trrunde Skrevet 31. januar 2015 Rapporter Del Skrevet 31. januar 2015 Det skal allerede være blokkert. All innkommende trafikk skal være blokkert. Sjekk først at porten ikke er åpnet, og at det ikke satt opp forwarding som foreslått over. Du kan feks scanne den eksterne IPen hans her: http://mxtoolbox.com/PortScan.aspxfor å se om porten er åpen. Her er da altså ståen: Venter fortsatt på tilgang til ruteren, så får vi se hvordan det ser ut. en bør rydde litt i oppsettet på den routeren, den svarer på dns fra internett og har administrasjonssiden for routeren tilgjengelig over internett http://82.164.97.136/ Tronds-MBP:~ trrunde$ dig @82.164.97.136 vg.no +short 195.88.54.16 195.88.55.16 Tronds-MBP:~ trrunde$ Lenke til kommentar
007CD Skrevet 31. januar 2015 Rapporter Del Skrevet 31. januar 2015 Det eneste jeg ikke forstår er at om han ikke kjører en DNS server på innsiden av nettverket og forwarder en port, hvordan i pokkern har han fått routeren selv til å svare på DNS forespørsler utenfra? Så vidt jeg vet er det ikke noe man får til på orginal firmware, dog er det en ASUS router som IKKE er oppdatert så kan jeg skjønne hvordan dette har skjedd, de har en remote exploit svakhet som kan utnyttes fra utsiden uten innlogging, hvor routeren da kjører absolutt alt av kommandoer og kan da gjøres om til å svare på DNS forespørsler og bli en "bot" på nettet. Lenke til kommentar
Sampson Skrevet 31. januar 2015 Forfatter Rapporter Del Skrevet 31. januar 2015 Så vidt jeg vet er det ikke noe man får til på orginal firmware, dog er det en ASUS router som IKKE er oppdatert så kan jeg skjønne hvordan dette har skjedd, de har en remote exploit svakhet som kan utnyttes fra utsiden uten innlogging, hvor routeren da kjører absolutt alt av kommandoer og kan da gjøres om til å svare på DNS forespørsler og bli en "bot" på nettet. Men CD har ikke sagt noe om at nettet blir brukt som botnet, de skrev spesifikt at Ddos angrepet kom INN, ikke ut. Så jeg kan vel se bort ifra botnet og virus? Får ikke fysisk tilgang på de pc'ene som brukes der siden jeg ikke bor i nærheten lenger. Lenke til kommentar
kpolberg Skrevet 31. januar 2015 Rapporter Del Skrevet 31. januar 2015 Hvis du har kopiert teksten fra CD direkte vil jeg påstå den er særs dårlig formulert. Og jeg vil anta problemet ligger i at den svarer på dns spørringer fra utsiden(internett) spørringene vil jo gå inn, men svaret vil gå ut igjen. Lenke til kommentar
007CD Skrevet 31. januar 2015 Rapporter Del Skrevet 31. januar 2015 Så vidt jeg vet er det ikke noe man får til på orginal firmware, dog er det en ASUS router som IKKE er oppdatert så kan jeg skjønne hvordan dette har skjedd, de har en remote exploit svakhet som kan utnyttes fra utsiden uten innlogging, hvor routeren da kjører absolutt alt av kommandoer og kan da gjøres om til å svare på DNS forespørsler og bli en "bot" på nettet. Men CD har ikke sagt noe om at nettet blir brukt som botnet, de skrev spesifikt at Ddos angrepet kom INN, ikke ut. Så jeg kan vel se bort ifra botnet og virus? Får ikke fysisk tilgang på de pc'ene som brukes der siden jeg ikke bor i nærheten lenger. Scenarioet jeg tenker her er ikke klassisk botnet, hvor man scammer annonser eller lignende, men at de bruker for eksempel ASUS exploitet for å ta over routeren og deretter benytter den til DDoS angrep med UDP basert DNS, med forfalsket mottaker / avsender. Og svaret du sender til avsenderen er det som er DDoSen, hadde det vært TCP istedet for UDP så hadde det aldri gått igjennom da stakkaren som står som mottaker ikke gjenkjenner forespørselen og svarer dermed ikke. For CD så vil de ikke kunne se om du er i botnet eller ikke, alt de ser er store mengder UDP baserte DNS pakker som reiser til en mottaker som klager over angrep. Men som sagt, er det en ASUS router det er snakk om som ikke har vært patchet, så er scenarioet sannsynlig, og fiksen er da rett og slett å nullstille routeren og oppdatere firmwaren, og deretter sjekke om portene er åpene og om den svarer på DNS forespørsler. Lenke til kommentar
Sampson Skrevet 9. februar 2015 Forfatter Rapporter Del Skrevet 9. februar 2015 Glemte å oppdatere, men er i orden nå! Får håpe det ikke gjentar seg. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå