Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Amplification Attack vom Windows-Server im öffentlichen Netz

Frage Microsoft Windows Server

Mitglied: pixel24

pixel24 (Level 1) - Jetzt verbinden

29.10.2012 um 14:39 Uhr, 6015 Aufrufe, 4 Kommentare

Hallo zusammen,

vor einigen Tagen habe ich ein neues Netzwerk übernommen dass ich zukünftig pflegen soll. Ich bin noch dabei gerade eine Bestandsaufnahme zu machen und alles zu Dokumentieren denn der Vorgänger hat hier gar nichts gemacht. Der Kunde hat einen Windows-2008 Server R2 bei Hetzner angemietet. Dieser arbeitet als zentraler Anmeldeserver für einen Teil der Clients. Desweiteren ist er bei einigen Clients als DNS eingetragen. Ich habe mal einen Portscan auf seiner öffentlichen IP gemacht:

88/tcp open kerberos-sec Windows 2003 Kerberos (server time: 2012-10-29 09:14:02Z)
135/tcp open msrpc Microsoft Windows RPC
389/tcp open ldap
443/tcp open ssl/http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
445/tcp open netbios-ssn
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
1723/tcp open pptp Microsoft
2179/tcp open vmrdp?
3268/tcp open ldap
3269/tcp open tcpwrapped
3389/tcp open ms-wbt-server Microsoft Terminal Service
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49165/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
Nun hat der Kunde heute von der Abuse-Hotline (Hetzner) eine Mail erhalten:

Betreff: Abuse-Message [AbuseID:xxxxxxxxxx]: AbuseNormal: [Abuse] UDP attack from your IP address xx.xx.xx.xx, DNS Amplification Attacks

Sehr geehrte(r) Herr,

wir haben einen Spam- bzw. Abuse-Hinweis von michal@xxxx.xx.pl erhalten.
Bitte treffen Sie alle noetigen Maßnahmen um dies kuenftig zu vermeiden.

Außerdem bitten wir Sie um die Abgabe einer kurzen Stellungnahme innerhalb von 24h an uns und an die Person, die diese Beschwerde eingereicht hat. Diese Stellungnahme soll Angaben enthalten, wie es zu dem Vorfall kommen konnte, bzw. was Sie dagegen unternehmen werden.


Darauf hin habe ich mir das System zum ersten mal angeschaut. Da ist weder ein Virenscanner nochts sonst was installiert. Ich arbeite zwar eher mit Linux (+Windows-Clients) aber das dürfte ja wohl ziemlich varlässig sein einen Windows-Server ins öffentliche Netz zu stellen und kein Virenschutz vorzusehen.


Ich habe mir dann mal einen entsprechenden Artikel über "DNS Amplification Attacks" durch gelesen. Wenn die Pakete von dem Kundenserver stammen muss ja ein Rootkit laufen, oder? Ich habe nun vom Rescue-System (Debian) den Rechner gescannt. Nichts gefunden. Anschließend diverse Rootkid-Scanner drüber laufen lassen. Ebenfalls nichts. Hat jemand von Euch Erfahrung mit dieser Angriffsart?

Viele Grüsse
Sven
Mitglied: Alchimedes
29.10.2012 um 15:07 Uhr
Hallo,

ich glaube nicht das es sich um eine DNS Attacke handelt sondern um einen Windowsserver der noch mit altem , nicht gepachten,RDP Protokoll luebbt.

Und jetzt brav als Spambot seine Dienste verrichtet.

Gruss
Bitte warten ..
Mitglied: sk
29.10.2012, aktualisiert um 16:28 Uhr
Zitat von pixel24:
Ich habe mir dann mal einen entsprechenden Artikel über "DNS Amplification Attacks" durch gelesen.
Wenn die Pakete von dem Kundenserver stammen muss ja ein Rootkit laufen, oder?

Nein. Diese Angriffe funktionieren ja so, dass ein DNS-Server als Verstärker genutzt wird, indem an diesen DNS-Anfragen mit gefälschten Absender-IPs gestellt werden. Die (vom Datenvolumen her wesentlich größeren) Antworten des Servers gehen dann an die gefakte Absender-IP. Dadurch kann man unter Zuhilfenahme mehrerer DNS-Server aus wenig Ursprungstraffic sehr viel DDOS-Traffic auf ein beliebiges Ziel erzeugen.

Das Grundübel Eurer Konfiguration ist, dass der Server offenbar völlig ungeschützt im Internet steht. Warum ist dieser nicht ausschließlich per VPN erreichbar?

Gruß
sk
Bitte warten ..
Mitglied: pixel24
29.10.2012 um 17:40 Uhr
das frage ich mich auch. Ich habe erst heute Zugang zu dem System erhalten und mir ist dabei als erstes aufgefallen dass hier keine Massnahmen ergriffen wurden.
Das System ist zwar auf dem aktuellen Patch-Level aber ich kann natürlich nicht sagen wie zeitnah diese immer eingespielt wurden.

Da von der Abuse-Hotlline eben konkret "DNS Amplification Attacks" angezeigt wurde und nicht Spam gehe ich im Moment nicht von einem SpamBot aus. Ich habe gerade auf Avira-Server auf der Rechner installiert und einen Komplett-Scan angestoßen.

Gibt es sonst noch empfehlenswere Scanner die ich drüber laufen lassen kann?
Bitte warten ..
Mitglied: sk
29.10.2012, aktualisiert um 20:23 Uhr
Der Vorwurf lautet: "UDP attack from your IP address xx.xx.xx.xx, DNS Amplification Attacks".
Das wäre für mich klärungsbedürftig. Wird nun Eurer DNS-Server für eine DDOS-Attacke mißbraucht (sprich: empfängt der andere unangefragt DNS-Antworten Eures Systems oder betreibt der andere einen DNS-Server und empfängt lediglich DNS-Anfragen von Eurer IP-Adresse (so scheinbar der Wortlaut der Abuse-Mail). In letzterem Fall wärt Ihr nicht (Mit-)Täter, sondern die Angegriffenen! Beides hätte anhand der Leitungsauslastung aber in jedem Fall auffallen müssen.

Ein sinnvoller Vorwurf kann Euch nur bei Variante 1 gemacht werden und auch das nur wenn Ihr unnötig einen DNS-Server für jeden zugreifbar macht. Wenn man einen regulären öffentlichen DNS-Server betreibt, kann man sich gegen solchen Mißbrauch nur schwerlich schützen, da sich das System hierbei so verhält, wie es sich nunmal verhalten soll - nämlich DNS-Anfragen beantworten. Siehe hierzu die Ausführungen von Lutz Donnerhacke:
http://lutz.donnerhacke.de/Blog/DNSSEC-Amplification-Attack
http://lutz.donnerhacke.de/Blog/DNS-Dampening

Es ist freilich noch ein dritter Fall denkbar: dass die gespooften Anfragen von Eurem Server kommen (das scheint bislang Deine Vermutung zu sein). Dies ist jedoch sehr unwahrscheinlich! Da hierbei Eure IP-Adresse nicht als Absenderadresse auftaucht, wäre es weder dem Betreiber des mißbrauchten DNS-Servers noch dem eigentlich Angegriffenen ohne Mithilfe aller beteiligten ISPs möglich, die Quelle des Traffics zu ermitteln. Wenn dies aber erfolgt wäre, hätte Eurer ISP bereits problemlos den abgehenden gespooften Traffic unterbunden.

Zunächst solltest Du also erstmal den Sachverhalt klären:
1) Auswerten der Trafficcounter des eigenen Servers --> Hoher Traffic? Ein- oder ausgehend?
2) Den eigenen Traffic capturen und mit Wireshark nach DNS-Anfragen und -Antworten auswerten.
3) Ggf. Capture bzw. Logfiles vom gegenüber anfordern.

Gruß
sk
Bitte warten ..
Ähnliche Inhalte
DNS
Öffentlicher DNS-Server erreichbar?
gelöst Frage von NavigatoDNS8 Kommentare

Hallo zusammen, ich benötigte für meinen Server Zugriff auf einen DNS-Server im Internet, also habe ich Gegoogelt und die ...

Router & Routing
Öffentliche IP Netze routen
gelöst Frage von PMallwitzRouter & Routing8 Kommentare

Hallo liebe Community, ich suche nach einer Lösung um mehrere öffentliche IP`s (IPv4) zwischen einem Rechenzentrum und unseren Standorten ...

Router & Routing
192.168er Adresse im öffentlichen Netz
Erfahrungsbericht von visco-cRouter & Routing8 Kommentare

Hallo, eher rein zufällig habe ich in der log-Datei meiner Firewall entdeckt, dass eine 192.168er Adresse von außen über ...

Viren und Trojaner
Ransomware-Attacke - aber welche?
gelöst Frage von textilforscherViren und Trojaner10 Kommentare

Hallo Gemeinde, wir sind heute Mittag in den "Genuss" einer Ransomware-Attacke gekommen, leider finde ich bisher keinen Anhaltspunkt, um ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 13 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 13 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 16 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 21 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...