Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Amplification Attack vom Windows-Server im öffentlichen Netz

Frage Microsoft Windows Server

Mitglied: pixel24

pixel24 (Level 1) - Jetzt verbinden

29.10.2012 um 14:39 Uhr, 5750 Aufrufe, 4 Kommentare

Hallo zusammen,

vor einigen Tagen habe ich ein neues Netzwerk übernommen dass ich zukünftig pflegen soll. Ich bin noch dabei gerade eine Bestandsaufnahme zu machen und alles zu Dokumentieren denn der Vorgänger hat hier gar nichts gemacht. Der Kunde hat einen Windows-2008 Server R2 bei Hetzner angemietet. Dieser arbeitet als zentraler Anmeldeserver für einen Teil der Clients. Desweiteren ist er bei einigen Clients als DNS eingetragen. Ich habe mal einen Portscan auf seiner öffentlichen IP gemacht:

88/tcp open kerberos-sec Windows 2003 Kerberos (server time: 2012-10-29 09:14:02Z)
135/tcp open msrpc Microsoft Windows RPC
389/tcp open ldap
443/tcp open ssl/http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
445/tcp open netbios-ssn
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
1723/tcp open pptp Microsoft
2179/tcp open vmrdp?
3268/tcp open ldap
3269/tcp open tcpwrapped
3389/tcp open ms-wbt-server Microsoft Terminal Service
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49165/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
Nun hat der Kunde heute von der Abuse-Hotline (Hetzner) eine Mail erhalten:

Betreff: Abuse-Message [AbuseID:xxxxxxxxxx]: AbuseNormal: [Abuse] UDP attack from your IP address xx.xx.xx.xx, DNS Amplification Attacks

Sehr geehrte(r) Herr,

wir haben einen Spam- bzw. Abuse-Hinweis von michal@xxxx.xx.pl erhalten.
Bitte treffen Sie alle noetigen Maßnahmen um dies kuenftig zu vermeiden.

Außerdem bitten wir Sie um die Abgabe einer kurzen Stellungnahme innerhalb von 24h an uns und an die Person, die diese Beschwerde eingereicht hat. Diese Stellungnahme soll Angaben enthalten, wie es zu dem Vorfall kommen konnte, bzw. was Sie dagegen unternehmen werden.


Darauf hin habe ich mir das System zum ersten mal angeschaut. Da ist weder ein Virenscanner nochts sonst was installiert. Ich arbeite zwar eher mit Linux (+Windows-Clients) aber das dürfte ja wohl ziemlich varlässig sein einen Windows-Server ins öffentliche Netz zu stellen und kein Virenschutz vorzusehen.


Ich habe mir dann mal einen entsprechenden Artikel über "DNS Amplification Attacks" durch gelesen. Wenn die Pakete von dem Kundenserver stammen muss ja ein Rootkit laufen, oder? Ich habe nun vom Rescue-System (Debian) den Rechner gescannt. Nichts gefunden. Anschließend diverse Rootkid-Scanner drüber laufen lassen. Ebenfalls nichts. Hat jemand von Euch Erfahrung mit dieser Angriffsart?

Viele Grüsse
Sven
Mitglied: Alchimedes
29.10.2012 um 15:07 Uhr
Hallo,

ich glaube nicht das es sich um eine DNS Attacke handelt sondern um einen Windowsserver der noch mit altem , nicht gepachten,RDP Protokoll luebbt.

Und jetzt brav als Spambot seine Dienste verrichtet.

Gruss
Bitte warten ..
Mitglied: sk
29.10.2012, aktualisiert um 16:28 Uhr
Zitat von pixel24:
Ich habe mir dann mal einen entsprechenden Artikel über "DNS Amplification Attacks" durch gelesen.
Wenn die Pakete von dem Kundenserver stammen muss ja ein Rootkit laufen, oder?

Nein. Diese Angriffe funktionieren ja so, dass ein DNS-Server als Verstärker genutzt wird, indem an diesen DNS-Anfragen mit gefälschten Absender-IPs gestellt werden. Die (vom Datenvolumen her wesentlich größeren) Antworten des Servers gehen dann an die gefakte Absender-IP. Dadurch kann man unter Zuhilfenahme mehrerer DNS-Server aus wenig Ursprungstraffic sehr viel DDOS-Traffic auf ein beliebiges Ziel erzeugen.

Das Grundübel Eurer Konfiguration ist, dass der Server offenbar völlig ungeschützt im Internet steht. Warum ist dieser nicht ausschließlich per VPN erreichbar?

Gruß
sk
Bitte warten ..
Mitglied: pixel24
29.10.2012 um 17:40 Uhr
das frage ich mich auch. Ich habe erst heute Zugang zu dem System erhalten und mir ist dabei als erstes aufgefallen dass hier keine Massnahmen ergriffen wurden.
Das System ist zwar auf dem aktuellen Patch-Level aber ich kann natürlich nicht sagen wie zeitnah diese immer eingespielt wurden.

Da von der Abuse-Hotlline eben konkret "DNS Amplification Attacks" angezeigt wurde und nicht Spam gehe ich im Moment nicht von einem SpamBot aus. Ich habe gerade auf Avira-Server auf der Rechner installiert und einen Komplett-Scan angestoßen.

Gibt es sonst noch empfehlenswere Scanner die ich drüber laufen lassen kann?
Bitte warten ..
Mitglied: sk
29.10.2012, aktualisiert um 20:23 Uhr
Der Vorwurf lautet: "UDP attack from your IP address xx.xx.xx.xx, DNS Amplification Attacks".
Das wäre für mich klärungsbedürftig. Wird nun Eurer DNS-Server für eine DDOS-Attacke mißbraucht (sprich: empfängt der andere unangefragt DNS-Antworten Eures Systems oder betreibt der andere einen DNS-Server und empfängt lediglich DNS-Anfragen von Eurer IP-Adresse (so scheinbar der Wortlaut der Abuse-Mail). In letzterem Fall wärt Ihr nicht (Mit-)Täter, sondern die Angegriffenen! Beides hätte anhand der Leitungsauslastung aber in jedem Fall auffallen müssen.

Ein sinnvoller Vorwurf kann Euch nur bei Variante 1 gemacht werden und auch das nur wenn Ihr unnötig einen DNS-Server für jeden zugreifbar macht. Wenn man einen regulären öffentlichen DNS-Server betreibt, kann man sich gegen solchen Mißbrauch nur schwerlich schützen, da sich das System hierbei so verhält, wie es sich nunmal verhalten soll - nämlich DNS-Anfragen beantworten. Siehe hierzu die Ausführungen von Lutz Donnerhacke:
http://lutz.donnerhacke.de/Blog/DNSSEC-Amplification-Attack
http://lutz.donnerhacke.de/Blog/DNS-Dampening

Es ist freilich noch ein dritter Fall denkbar: dass die gespooften Anfragen von Eurem Server kommen (das scheint bislang Deine Vermutung zu sein). Dies ist jedoch sehr unwahrscheinlich! Da hierbei Eure IP-Adresse nicht als Absenderadresse auftaucht, wäre es weder dem Betreiber des mißbrauchten DNS-Servers noch dem eigentlich Angegriffenen ohne Mithilfe aller beteiligten ISPs möglich, die Quelle des Traffics zu ermitteln. Wenn dies aber erfolgt wäre, hätte Eurer ISP bereits problemlos den abgehenden gespooften Traffic unterbunden.

Zunächst solltest Du also erstmal den Sachverhalt klären:
1) Auswerten der Trafficcounter des eigenen Servers --> Hoher Traffic? Ein- oder ausgehend?
2) Den eigenen Traffic capturen und mit Wireshark nach DNS-Anfragen und -Antworten auswerten.
3) Ggf. Capture bzw. Logfiles vom gegenüber anfordern.

Gruß
sk
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerke
gelöst Ping zu Windows Server funktioniert im OpenVPN netz nicht (5)

Frage von ketanest112 zum Thema Netzwerke ...

Windows Server
gelöst Windows 2012 DNS Eintrag auf internen Server (4)

Frage von Akcent zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2008r2 DNS (2)

Frage von Citytow zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...