4
DNS Amplification Attack vom Windows-Server im öffentlichen Netz
Hallo zusammen,
vor einigen Tagen habe ich ein neues Netzwerk übernommen dass ich zukünftig pflegen soll. Ich bin noch dabei gerade eine Bestandsaufnahme zu machen und alles zu Dokumentieren denn der Vorgänger hat hier gar nichts gemacht. Der Kunde hat einen Windows-2008 Server R2 bei Hetzner angemietet. Dieser arbeitet als zentraler Anmeldeserver für einen Teil der Clients. Desweiteren ist er bei einigen Clients als DNS eingetragen. Ich habe mal einen Portscan auf seiner öffentlichen IP gemacht:
88/tcp open kerberos-sec Windows 2003 Kerberos (server time: 2012-10-29 09:14:02Z)
135/tcp open msrpc Microsoft Windows RPC
389/tcp open ldap
443/tcp open ssl/http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
445/tcp open netbios-ssn
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
1723/tcp open pptp Microsoft
2179/tcp open vmrdp?
3268/tcp open ldap
3269/tcp open tcpwrapped
3389/tcp open ms-wbt-server Microsoft Terminal Service
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49165/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
Nun hat der Kunde heute von der Abuse-Hotline (Hetzner) eine Mail erhalten:
Betreff: Abuse-Message [AbuseID:xxxxxxxxxx]: AbuseNormal: [Abuse] UDP attack from your IP address xx.xx.xx.xx, DNS Amplification Attacks
Sehr geehrte(r) Herr,
wir haben einen Spam- bzw. Abuse-Hinweis von michal@xxxx.xx.pl erhalten.
Bitte treffen Sie alle noetigen Maßnahmen um dies kuenftig zu vermeiden.
Außerdem bitten wir Sie um die Abgabe einer kurzen Stellungnahme innerhalb von 24h an uns und an die Person, die diese Beschwerde eingereicht hat. Diese Stellungnahme soll Angaben enthalten, wie es zu dem Vorfall kommen konnte, bzw. was Sie dagegen unternehmen werden.
Darauf hin habe ich mir das System zum ersten mal angeschaut. Da ist weder ein Virenscanner nochts sonst was installiert. Ich arbeite zwar eher mit Linux (+Windows-Clients) aber das dürfte ja wohl ziemlich varlässig sein einen Windows-Server ins öffentliche Netz zu stellen und kein Virenschutz vorzusehen.
Ich habe mir dann mal einen entsprechenden Artikel über "DNS Amplification Attacks" durch gelesen. Wenn die Pakete von dem Kundenserver stammen muss ja ein Rootkit laufen, oder? Ich habe nun vom Rescue-System (Debian) den Rechner gescannt. Nichts gefunden. Anschließend diverse Rootkid-Scanner drüber laufen lassen. Ebenfalls nichts. Hat jemand von Euch Erfahrung mit dieser Angriffsart?
Viele Grüsse
Sven
vor einigen Tagen habe ich ein neues Netzwerk übernommen dass ich zukünftig pflegen soll. Ich bin noch dabei gerade eine Bestandsaufnahme zu machen und alles zu Dokumentieren denn der Vorgänger hat hier gar nichts gemacht. Der Kunde hat einen Windows-2008 Server R2 bei Hetzner angemietet. Dieser arbeitet als zentraler Anmeldeserver für einen Teil der Clients. Desweiteren ist er bei einigen Clients als DNS eingetragen. Ich habe mal einen Portscan auf seiner öffentlichen IP gemacht:
88/tcp open kerberos-sec Windows 2003 Kerberos (server time: 2012-10-29 09:14:02Z)
135/tcp open msrpc Microsoft Windows RPC
389/tcp open ldap
443/tcp open ssl/http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
445/tcp open netbios-ssn
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
1723/tcp open pptp Microsoft
2179/tcp open vmrdp?
3268/tcp open ldap
3269/tcp open tcpwrapped
3389/tcp open ms-wbt-server Microsoft Terminal Service
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49165/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
Nun hat der Kunde heute von der Abuse-Hotline (Hetzner) eine Mail erhalten:
Betreff: Abuse-Message [AbuseID:xxxxxxxxxx]: AbuseNormal: [Abuse] UDP attack from your IP address xx.xx.xx.xx, DNS Amplification Attacks
Sehr geehrte(r) Herr,
wir haben einen Spam- bzw. Abuse-Hinweis von michal@xxxx.xx.pl erhalten.
Bitte treffen Sie alle noetigen Maßnahmen um dies kuenftig zu vermeiden.
Außerdem bitten wir Sie um die Abgabe einer kurzen Stellungnahme innerhalb von 24h an uns und an die Person, die diese Beschwerde eingereicht hat. Diese Stellungnahme soll Angaben enthalten, wie es zu dem Vorfall kommen konnte, bzw. was Sie dagegen unternehmen werden.
Darauf hin habe ich mir das System zum ersten mal angeschaut. Da ist weder ein Virenscanner nochts sonst was installiert. Ich arbeite zwar eher mit Linux (+Windows-Clients) aber das dürfte ja wohl ziemlich varlässig sein einen Windows-Server ins öffentliche Netz zu stellen und kein Virenschutz vorzusehen.
Ich habe mir dann mal einen entsprechenden Artikel über "DNS Amplification Attacks" durch gelesen. Wenn die Pakete von dem Kundenserver stammen muss ja ein Rootkit laufen, oder? Ich habe nun vom Rescue-System (Debian) den Rechner gescannt. Nichts gefunden. Anschließend diverse Rootkid-Scanner drüber laufen lassen. Ebenfalls nichts. Hat jemand von Euch Erfahrung mit dieser Angriffsart?
Viele Grüsse
Sven
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193464
Url: https://administrator.de/contentid/193464
Printed on: April 25, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hallo,
ich glaube nicht das es sich um eine DNS Attacke handelt sondern um einen Windowsserver der noch mit altem , nicht gepachten,RDP Protokoll luebbt.
Und jetzt brav als Spambot seine Dienste verrichtet.
Gruss
ich glaube nicht das es sich um eine DNS Attacke handelt sondern um einen Windowsserver der noch mit altem , nicht gepachten,RDP Protokoll luebbt.
Und jetzt brav als Spambot seine Dienste verrichtet.
Gruss
Zitat von @pixel24:
Ich habe mir dann mal einen entsprechenden Artikel über "DNS Amplification Attacks" durch gelesen.
Wenn die Pakete von dem Kundenserver stammen muss ja ein Rootkit laufen, oder?
Ich habe mir dann mal einen entsprechenden Artikel über "DNS Amplification Attacks" durch gelesen.
Wenn die Pakete von dem Kundenserver stammen muss ja ein Rootkit laufen, oder?
Nein. Diese Angriffe funktionieren ja so, dass ein DNS-Server als Verstärker genutzt wird, indem an diesen DNS-Anfragen mit gefälschten Absender-IPs gestellt werden. Die (vom Datenvolumen her wesentlich größeren) Antworten des Servers gehen dann an die gefakte Absender-IP. Dadurch kann man unter Zuhilfenahme mehrerer DNS-Server aus wenig Ursprungstraffic sehr viel DDOS-Traffic auf ein beliebiges Ziel erzeugen.
Das Grundübel Eurer Konfiguration ist, dass der Server offenbar völlig ungeschützt im Internet steht. Warum ist dieser nicht ausschließlich per VPN erreichbar?
Gruß
sk
das frage ich mich auch. Ich habe erst heute Zugang zu dem System erhalten und mir ist dabei als erstes aufgefallen dass hier keine Massnahmen ergriffen wurden.
Das System ist zwar auf dem aktuellen Patch-Level aber ich kann natürlich nicht sagen wie zeitnah diese immer eingespielt wurden.
Da von der Abuse-Hotlline eben konkret "DNS Amplification Attacks" angezeigt wurde und nicht Spam gehe ich im Moment nicht von einem SpamBot aus. Ich habe gerade auf Avira-Server auf der Rechner installiert und einen Komplett-Scan angestoßen.
Gibt es sonst noch empfehlenswere Scanner die ich drüber laufen lassen kann?
Das System ist zwar auf dem aktuellen Patch-Level aber ich kann natürlich nicht sagen wie zeitnah diese immer eingespielt wurden.
Da von der Abuse-Hotlline eben konkret "DNS Amplification Attacks" angezeigt wurde und nicht Spam gehe ich im Moment nicht von einem SpamBot aus. Ich habe gerade auf Avira-Server auf der Rechner installiert und einen Komplett-Scan angestoßen.
Gibt es sonst noch empfehlenswere Scanner die ich drüber laufen lassen kann?
Der Vorwurf lautet: "UDP attack from your IP address xx.xx.xx.xx, DNS Amplification Attacks".
Das wäre für mich klärungsbedürftig. Wird nun Eurer DNS-Server für eine DDOS-Attacke mißbraucht (sprich: empfängt der andere unangefragt DNS-Antworten Eures Systems oder betreibt der andere einen DNS-Server und empfängt lediglich DNS-Anfragen von Eurer IP-Adresse (so scheinbar der Wortlaut der Abuse-Mail). In letzterem Fall wärt Ihr nicht (Mit-)Täter, sondern die Angegriffenen! Beides hätte anhand der Leitungsauslastung aber in jedem Fall auffallen müssen.
Ein sinnvoller Vorwurf kann Euch nur bei Variante 1 gemacht werden und auch das nur wenn Ihr unnötig einen DNS-Server für jeden zugreifbar macht. Wenn man einen regulären öffentlichen DNS-Server betreibt, kann man sich gegen solchen Mißbrauch nur schwerlich schützen, da sich das System hierbei so verhält, wie es sich nunmal verhalten soll - nämlich DNS-Anfragen beantworten. Siehe hierzu die Ausführungen von Lutz Donnerhacke:
http://lutz.donnerhacke.de/Blog/DNSSEC-Amplification-Attack
http://lutz.donnerhacke.de/Blog/DNS-Dampening
Es ist freilich noch ein dritter Fall denkbar: dass die gespooften Anfragen von Eurem Server kommen (das scheint bislang Deine Vermutung zu sein). Dies ist jedoch sehr unwahrscheinlich! Da hierbei Eure IP-Adresse nicht als Absenderadresse auftaucht, wäre es weder dem Betreiber des mißbrauchten DNS-Servers noch dem eigentlich Angegriffenen ohne Mithilfe aller beteiligten ISPs möglich, die Quelle des Traffics zu ermitteln. Wenn dies aber erfolgt wäre, hätte Eurer ISP bereits problemlos den abgehenden gespooften Traffic unterbunden.
Zunächst solltest Du also erstmal den Sachverhalt klären:
1) Auswerten der Trafficcounter des eigenen Servers --> Hoher Traffic? Ein- oder ausgehend?
2) Den eigenen Traffic capturen und mit Wireshark nach DNS-Anfragen und -Antworten auswerten.
3) Ggf. Capture bzw. Logfiles vom gegenüber anfordern.
Gruß
sk
Das wäre für mich klärungsbedürftig. Wird nun Eurer DNS-Server für eine DDOS-Attacke mißbraucht (sprich: empfängt der andere unangefragt DNS-Antworten Eures Systems oder betreibt der andere einen DNS-Server und empfängt lediglich DNS-Anfragen von Eurer IP-Adresse (so scheinbar der Wortlaut der Abuse-Mail). In letzterem Fall wärt Ihr nicht (Mit-)Täter, sondern die Angegriffenen! Beides hätte anhand der Leitungsauslastung aber in jedem Fall auffallen müssen.
Ein sinnvoller Vorwurf kann Euch nur bei Variante 1 gemacht werden und auch das nur wenn Ihr unnötig einen DNS-Server für jeden zugreifbar macht. Wenn man einen regulären öffentlichen DNS-Server betreibt, kann man sich gegen solchen Mißbrauch nur schwerlich schützen, da sich das System hierbei so verhält, wie es sich nunmal verhalten soll - nämlich DNS-Anfragen beantworten. Siehe hierzu die Ausführungen von Lutz Donnerhacke:
http://lutz.donnerhacke.de/Blog/DNSSEC-Amplification-Attack
http://lutz.donnerhacke.de/Blog/DNS-Dampening
Es ist freilich noch ein dritter Fall denkbar: dass die gespooften Anfragen von Eurem Server kommen (das scheint bislang Deine Vermutung zu sein). Dies ist jedoch sehr unwahrscheinlich! Da hierbei Eure IP-Adresse nicht als Absenderadresse auftaucht, wäre es weder dem Betreiber des mißbrauchten DNS-Servers noch dem eigentlich Angegriffenen ohne Mithilfe aller beteiligten ISPs möglich, die Quelle des Traffics zu ermitteln. Wenn dies aber erfolgt wäre, hätte Eurer ISP bereits problemlos den abgehenden gespooften Traffic unterbunden.
Zunächst solltest Du also erstmal den Sachverhalt klären:
1) Auswerten der Trafficcounter des eigenen Servers --> Hoher Traffic? Ein- oder ausgehend?
2) Den eigenen Traffic capturen und mit Wireshark nach DNS-Anfragen und -Antworten auswerten.
3) Ggf. Capture bzw. Logfiles vom gegenüber anfordern.
Gruß
sk
