DRINGEND und WICHTIG - DNS resolver und DNS AMP

Naja, das Bild bei UCEprotect spricht eigentlich dagegen, zumindest in dem Net, in dem wir gehostet sind.
AS 16276 WARNSTUFE
Hohes Listungsrisiko
1062912

Das eigentlich nur mit Miniunterbrechungen permanent über Wochen

@spoi,

das ist eine Möglichkeit mit failoverIP, aber auch keine wirkliche Lösung, trotzdem danke für die Idee.

Naja, die Formulierung aus der Mail:
ist eine klare Ansage: Open resolver aus oder Server wird gesperrt. Das kommt für mich einem Verbot gleich.

Gruß, Klaus

encounter wrote:
> Ich würde hier genauso jeden Spamserver anschreiben und wenn der es
> nicht abschaltet eben reagieren.

Das wird auch getan.

Caddy wrote:
> Der Test, den OVH durchgeführt hat, prüft nur, ob ein Server über den
> DNS externe Adressen auflöst. Also "nur" auf open Resolver. Der Test
> prüft _NICHT_, ob eine Amplification Attack überhaupt möglich ist bzw.
> ob Anzahl der Abfragen Antworten möglicherweise limitiert sind.

Korrekt. Ich behaupte mal das 99% der Benutzer, die einen offenen resolver
betreiben, dies aus Unkenntnis tun und nicht absichtlich. Um einen
autoritativen nameserver fuer ein paar domains zu betreiben braucht man keine
Rekursion (fuer Netze ausserhalb von 127/8)

> Amplification Attacks sind _NICHT_ nur via DNS möglich, sondern über
> diverse andere verbindungslose Protokolle ebenfalls. Wollt ihr demnächst
> auch Gameserver verbieten?

Wir verbieten weder DNS-Server noch Gameserver, weisen aber darauf hin das
jeder Serverbetreiber fuer die von ihm betriebene Software und deren
Auswirkungen haftet.

@encounter
legt euch halt doch failover IP aus einem anderen subnetz zu. Dann könnt ihr jeh nach Wetterlage im Zweifel springen

@Caddy:
Octave schrieb:
Hörte sich für mich so an, als ob nur Leute angeschrieben wurden, die an einem Angriff unfreiwillig beteiligt sind. Ich habe in dem Logfile des DNS auch nachvollziehen können. In ca. minütlichen Abständen wurden anfragen nach isc.org ANY gestellt. Siehe: isc.ogr any attack. Mittlerweile ist der DNS zu bzw. bedient nur noch eigene IP ranges und zusätzlich filtere ich die Anfragen nach isc.org per iptables raus, damit gibt es dann noch nicht einmal Fehlermeldungen an das letztendliche Opfer.

Ist dann wahrscheinlich das beste. Bei einem Gameserver ist es nun echt nicht das Problem solche Angriffe auszuschließen. Müssten halt die Entwickler machen...

@whyte:
Den Test kannst du auch einfach per dig machen.

schlimmer als DNS Attacks finde ich, dass OVH Spam nicht in den Griff bekommt.
Wir sind in einem 94er Subnet von OVH undam Momtag war man nach 2x erhöhter Warnstufe tatsächlich auf grün.
Leider nimmt es nun wieder in vollem Masse wie zuvor zu und ist wieder auf erhöhtem Listingsrisiko auf Level 2 und 3

Wofür OVH nichts kann ist, dass manche Blacklists nicht prüfen auf einzelne IPs sondern gleich ein ganzes Subnet als Spammer deklariert und wenn man Pech hat, steht man so ungewollt in der Schusslinie und wundert sich, warum Mails nicht zugestellt werden.
Natürlich kann man sich von Stufe 2 und 3 freikaufen, aber das ist wohl kaun der Sinn der Sache.
Ich würde hier genauso jeden Spamserver anschreiben und wenn der es nicht abschaltet eben reagieren.
Wir haben nur dahingehend unseren Umzug nach OVH bereut.
Ich habe noch nie so ein hohes Interesse von Bots und Spammern gehabt wie im OVH Netz.

Bisschen schade ist auch, dass der OVH Test nur IPs aus dem OVH Netz zulässt, um diese zu testen, wenn man mehrere Server bei verschiedenen Providern hat.

Der Test, den OVH durchgeführt hat, prüft nur, ob ein Server über den DNS externe Adressen auflöst. Also "nur" auf open Resolver. Der Test prüft _NICHT_, ob eine Amplification Attack überhaupt möglich ist bzw. ob Anzahl der Abfragen Antworten möglicherweise limitiert sind.

Amplification Attacks sind _NICHT_ nur via DNS möglich, sondern über diverse andere verbindungslose Protokolle ebenfalls. Wollt ihr demnächst auch Gameserver verbieten?

Ich hatte für einen unserer Server ebenfalls eine Mail bekommen, weil der Resolver "ziemlich" open war. Des lieben Friedens wegen habe ich das nun geändert, da ich bei diversen anderen Hostern noch Server habe, die ihren Zweck erfüllen und deren Firewall Anfragen / Antworten entsprechend intelligent abfiltert.

Gruß, Klaus.

Nunja, ich glaube da war ist gestern ein wenig schnell mit schreiben und der Text war auch nur in Französisch verfügbar und die Google Übersetzung recht schlecht.

Scheint ja so, als hätten nur die Leute, die grade an einem Angriff (ungewollt) teilnehmen angeschrieben wurden. Dann finde ich die 24h ganz okay. Natürlich fragt man sich dennoch, warum erst jetzt, weil DNS AMP Angriffe sind ja nichts neues...

Nicht so wirklich elegant gelöst oder - OVH?
Erst interessieren euch offene Resolver überhaupt nicht - ist ja auch ein ganz normaler Dienst - und plötzlich muss es ganz ganz schnell gehen: "ACHTUNG: in 24 Stunden werden wir den Status Ihres Servers erneut prüfen. Wenn Sie Ihre Konfiguration bis dann nicht korrigiert haben sind wir gezwungen, Ihren Server zu Sperren."

Guten Tag,

unter den fast 160.000 physikalischen und über 40.000 virtuellen Servern
im OVH Netzwerk haben einige eine fehlerhafte DNS-Konfiguration. Diese
erlaubt es Hackern, den DNS-Server für Angriffe aus unserem Netzwerk
heraus zu nutzen (DDoS des Typs DNS AMP).

Sobald wir derartige Angriffe feststellen, filtern wir die Pakete der
angegriffenen IP und prüfen alle Ursprungs-IPs der Angreifer.
(In einigen Wochen werden wir über die Infrastrukturen verfügen,
um den Traffic direkt zu reinigen und ins Internet weiterzuleiten).
Dies erlaubt es uns, Server mit Sicherheitslücken zu finden,
diese zu schließen und betroffene Kunden zu informieren.

Wir arbeiten seit einer Woche an den DNS AMP Angriffen, die durch
die schlechte BIND-Konfiguration unserer Kunden ermöglicht werden.
Es wurde schon eine E-Mail an die ersten 500 Kunden verschickt, mit
der Aufforderung, das Problem zu beheben. Außerdem bereiten wir die
E-Mail für die verbleibenden 3.000 Kunden vor.

Parallel kümmern wir uns um die Angriffe, die permanent stattfinden.
Mehrere täglich. Weil BIND immer noch nicht gefixt ist, weil der Kunde
dazu keine Zeit hat oder meint, es sei nicht schlimm.

Wir haben so 3.200 IPs ausgefiltert, die seit zwei Stunden an einem
Angriff beteiligt sind. Die Filterung läuft über unsere
Schadensbegrenzungsinfrastruktur VAC1 in RBX und wir filtern alle DNS-
Anfragen, die von außen kommen und dazu bestimmt sind, einen Angriff
zu starten. Alle übrigen Anfragen werden nicht ausgefiltert.

Gleichzeitig verschicken wir E-Mails an Kunden, damit sie das Problem
innerhalb von 24 Stunden beheben. Ab morgen werden wir damit beginnen,
Server zu schließen, die ein Sicherheitsrisiko darstellen.

Ist mein DNS-Server abgesichert?
Testen Sie Ihre IP: http://ovh.to/YcW5Z16

Wie sichere ich den DNS ab?
die Anleitung: http://ovh.to/2uzX8Z

Kann OVH das für mich machen?
Ja, das kostet dann 23,80 EUR.
Öffnen Sie hierzu ein Ticket: http://ovh.to/g9zcvgY


Mit freundlichen Grüßen
Octave