Child pages
  • Tag Vuln.open_recursor
Skip to end of metadata
Go to start of metadata

Tag Vuln.open_recursor

Kurzinfo

Rechner, die offene Resolver (open recursor) sind und für DNS Amplifizierung (amplification) missbraucht werden um ein fremdes Ziel zu attackieren.

Treffsicherheit

Bei Prüfung der Schwachstelle mit einem der unten beschriebenen Commands: 100%

Die Wahrscheinlichkeit, dass diese Schwachstelle von Dritten tatsächlich für DDOS Attacken missbraucht wird, ist hoch.

Beschreibung

Offene Resolver sind meistens auf mangelnde Konfiguration zurückzuführen. Missbraucht wird die DNS Amplifizierung und die Möglichkeit von UDP spoofing. Der DNS Resolver kann an Hand von der UDP-DNS-Anfrage nicht erkennen ob es sich um eine eine gespoofte IP Adresse handelt und schickt eine große DNS-Antwort an das zu attackierende Ziel.

Rekursive DNS Server sollten nur auf Anfragen aus Ihrem eigenen IP Bereich antworten - aber z.B. nicht aus dem Internet.

Überprüfung:

Mit folgendem Command kann aus einem IP Bereich außerhalb Ihres IP Bereichs geprüft werden, ob die Schwachstelle besteht.

nslookup brandmelder.cc.univie.ac.at %DNS_Server_IP%

oder für mehr Details

dig @%DNS_Server_IP% brandmelder.cc.univie.ac.at +noedns

Ist die Auflösung möglich, ist Ihr System anfällig.

Gegenmaßnahmen bei Resolvern:

  • Abschalten des - eventuell aus versehen - aktivierten DNS Dienstes am Gerät. Es kann sich z.B. auch um einen SOHO WLAN Router mit fehlerhafter Konfiguration handeln.
  • Anpassen der Konfiguration so dass das Gerät auf DNS Anfragen aus dem Internet nicht antwortet, sondern - falls DNS Antworten wirklich benötigt werden - nur aus dem eigenen IP Adressraum.
  • Abschotten der Infrastruktur durch Blockieren von DNS Anfragen aus dem Internet.
  • Eventuell Rate Limit.

Bind:

acl ournets { 131.130/16; 2001:62a::/31; };
options {
	allow-recursion { ournets; };
};

Unbound:

server:     
       access-control: 131.130.0.0/16 allow
       access-control: 2001:62a::/31 allow

dnsmasq:

Bei dnsmasq kennt das Konzept von ACLs nicht. Hier empfiehlt es sich, den Prozess nur auf localhost zu binden.

listen-address=127.0.0.1

Microsoft DNS Server:

Microsoft DNS Server kann keine ACLs. Für Windwos Server 2008 R2 kann das Resolven abgestellt werden Microsoft Technet [5]. Ab Windows Server 2003 kann das Resolven auch abgestellt werden Microsoft Technet [3]. Generell empfiehlt Mircosoft, das Service mit einer Firewall von außen abzuschotten und einen Forwarder zu verwenden Microsoft Technet [4].

Ab Windows Server 2016 werden sogenannte "DNS policies" eingeführt. Mit diesem Feature ist es, ähnlich zu den BIND Clauses "view" und "allow-query", möglich, gezielte Anfragen zu beantworten bzw. unterschiedliche Zonen auszuliefern. Sie ua. Technet Blog [6]

Gegenmaßnahmen bei auth. Nameservern:

Konfiguration Bind, NSD und Knot DNS mit Response Rate Limiting (RRL) [1] und Monitoring.

Generelle Gegenmaßnahmen:

Umsetztung von BCP38 [2]

https://www.us-cert.gov/ncas/alerts/TA13-088A
https://www.team-cymru.org/Services/Resolvers/instructions.html

1 http://www.redbarn.org/dns/ratelimits

2 http://tools.ietf.org/html/bcp38

3 http://technet.microsoft.com/en-us/library/cc787602.aspx

4 http://technet.microsoft.com/en-us/library/cc754941.aspx

5 http://technet.microsoft.com/en-us/library/cc771738.aspx

http://blogs.technet.com/b/askpfeplat/archive/2015/07/13/dns-policies-coming-in-windows-server-2016.aspx

 

Erfahrungen

  • No labels