台灣最具影響力的-資訊專家社群 - 讓您成為最有價值的IT專業人才
線上人數
1900
 
會員總數:229199
接案會員:6761
文章總數:2320
討論主題:175268
歡迎您免費加入會員
討論區列表 >> 資訊安全/病毒 >> ADSL被駭客偽裝IP進行DNS查詢攻擊

[變換順序]
[我要回覆]
1


回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
ADSL被駭客偽裝IP進行DNS查詢攻擊
價值 : 100 QP  點閱數:3728 回應數:11

點圖分享到Plurk吧!
樓主

擺渡人
初學者
736 28
2605 314
發送站內信

捐贈 VP 給 擺渡人
公司使用寬頻負載平衡設備連線,共申請了三路ADSL,該設備上面提供DNS查詢服務,最近一個禮拜其中一條Hinet的ADSL連線異常,監看封包後發現有許多不使屬於我們公司的Public IP,但是是同屬於一個C Class的IP,一直在針對我們的DNS Server進行DNS查詢,查詢的網址幾乎都是對岸的網站(有許多網址),但由於Source IP都是假的,所以我們的負載平衡設備在進行ARP查詢時,就造成許多ARP的廣播封包,導致整條ADSL幾乎癱瘓,尋求Hinet時,只會跟我說檢測線路是正常,一直到我提供Sniffer的資料他們才知道有這問題,但是詢問他們這些封包從哪來的,他們卻回答說是偽造的,所以無法查。
想請問的是,真的沒辦法請Hinet去處理這種惡意的攻擊行為嗎?
另外,因為公司的負載平衡設備並不是專業的防火牆設備,所以對於這種攻擊手法該如何處理?
目前我只能將被鎖定的IP從負載平衡設備中移除,暫不提供服務,這樣網路至少還可以使用,但這不是長久之計,所以希望能有其他的方法進行處理,謝謝。
本篇文章發表於2010-09-09 10:11
什麼是iT Power資訊報 2010年藍色小舖認證專家風雲榜完全名單
1樓
最有價值解答

Nansen
檢舉此回應
小弟的公司也發現鄰近的C class一直送DNS查詢
目前是用Firewall阻擋這些C class的DNS查詢,以及設定DNS查詢的session數量
跟同事討論的結果也認為IP是偽造的,因為還出現.255 .254這種IP
IP要偽造必須在同一個L2環境,比較有可能是同一條線路上的其他用戶的問題

可以嘗試關閉外部遞迴搜尋,應該可以減少對外查詢的量,但是查詢還是會送進來只是reject而已
https://www.dns-oarc.net/oarc/articles/upward-referrals-considered-harmful
http://www.netadmin.com.tw/article_content.asp?sn=0812040010


本篇文章回覆於2010-09-09 14:42
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

擺渡人
捐贈 VP 給 擺渡人 檢舉此回應
如果說IP要偽造必須在同一個L2環境,比較有可能是同一條線路上的其他用戶的問題,那就表示是同一個ISP的用戶,那Hinet為何不能處理自己用戶的問題呢?目前我也只是在F/W上面reject同一個C Class的來源查詢,但網路還是被這些封包給佔據,造成線路品質不好,實在很頭痛。


本篇文章回覆於2010-09-09 17:18
--未登入的會員無法查看對方簽名檔--
3樓
回應

shinyo.her
捐贈 VP 給 shinyo.her 檢舉此回應
這問題很常見
我公司的使用ISP商是會提供基本的防範服務,如果你的電腦是放在他們的租用機房,又不想花錢買設備的話
以下是我的建議:
1.採用ISP商提供的防護,可以阻檔基本的DDOS攻擊
2.請求租用的ISP商幫你加入網站限制,這對客戶會比較麻煩,我採用過訪問網頁必須重新整理一次才能進入的功能,可以防範,但很麻煩,可以參考諸如此類的功能
3.從程式下手.在首頁寫入規則,判斷IP
4.使用防火牆軟體,可以稍微舒緩這種情形.

基本上這些IP都是肉雞,防不慎防阿...給你參考.



本篇文章回覆於2010-09-11 12:33
--未登入的會員無法查看對方簽名檔--
4樓
作者回應

擺渡人
捐贈 VP 給 擺渡人 檢舉此回應
目前我的狀況並不是網站被攻擊,而是DNS服務被攻擊,設備也在自己的管轄範圍,只是納悶為何Hinet的用戶有不被允許的行為時,Hinet卻沒有進行任何處理,這樣不就是放任自己家的用戶胡作非為了嗎?


本篇文章回覆於2010-09-11 21:32
--未登入的會員無法查看對方簽名檔--
5樓
不錯的參考

shinyo.her
捐贈 VP 給 shinyo.her 檢舉此回應
DNS服務被攻擊跟網站是一樣意思吧∼XD
其實呢,如果你牽的線路是集縮比的線路(集縮比就是多個用戶於一個區域共享頻寬)
在這區塊內有可能會被掃到IP
第二點,他客戶對你的IP作的要求HINET是很有可能將之判定為正常要求進而回應他吧?
沒道理他來敲門你說他違法阿!HINET也是一直都這樣回應我的,也只好這樣了
將IP鎖ping也許可以減緩這類的情形.




本篇文章回覆於2010-09-13 14:12
--未登入的會員無法查看對方簽名檔--
6樓
不錯的參考

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
先關閉[允許詢問非自家網域名稱的query]吧?
比如我的Domain name是xxxxx.tw,跑來問我www.yyyyy.tw的IP,這...不正常吧?

至於...寬頻負載平衡設備上面內建的DNS Server..."大概"沒辦法關這種東西?
所以這個就要問廠商啦.如果廠商也沒解決方案?
So...就這樣...


本篇文章回覆於2010-09-26 14:02
--未登入的會員無法查看對方簽名檔--
7樓
作者回應

擺渡人
捐贈 VP 給 擺渡人 檢舉此回應
To #5
雖然說不能拒絕對方,但是對方的行為已經不是正常的行為,這與發送垃圾郵件是一樣的行為不是嗎?
To #6
目前正在詢問設備商,如何不去理會這種不是查詢我家網域的查詢。

現階段我只能先將那個IP移除不使用,改讓其他線路去處理,真的很無奈。


本篇文章回覆於2010-09-27 12:20
--未登入的會員無法查看對方簽名檔--
8樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
一般所謂平衡負載器,除了當DNS Server之外,也充當內部NAT下,DHCP後用的DNS Server
所以...如果這功能關了,也可能造成NAT下的電腦,透過它,除了上面有的網域外,全部查不到...
通常...不會寫到那麼細,分成外部不允許recursive而內部可以...

So...改用另一台電腦架DNS Server,但可能因此失去了使用DNS操作的Load balance功能...


本篇文章回覆於2010-09-28 20:28
--未登入的會員無法查看對方簽名檔--
9樓
作者回應

擺渡人
捐贈 VP 給 擺渡人 檢舉此回應
負載平衡設備的DNS只提供外部查詢內部網域使用,內部Client所使用的DNS是另外架設的,所以停用查詢外部網域應該是不會有影響的。


本篇文章回覆於2010-09-28 21:05
--未登入的會員無法查看對方簽名檔--
10樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
Oh,如果是僅供Internet端查詢的話,那就真的只差關閉recursive了...

不過...就算是只查詢公司網域,也可能讓平衡負載器對外頻寬操到死...
同一時間幾百還好...同一時間幾千甚至上萬的話????
就算是Linux配合fail2ban,也只是ban掉假的Source IP而已...
似乎...趨向於無解?


本篇文章回覆於2010-09-29 23:19
--未登入的會員無法查看對方簽名檔--
11樓
作者回應

擺渡人
捐贈 VP 給 擺渡人 檢舉此回應
目前攻擊者都是查詢中國的網域,所以關閉recursive是可以避免分享器要去回應這些Request所產生的arp封包,但是如果像您所說的,他反過來查詢我公司的網域,這個問題還是無解。
我納悶的是,身為一個ISP服務供應商,雖然我沒購買他的SOC服務,但是在他所管轄的網路區段出現這種非正常的行為,怎麼可以對客戶提出的反應置之不理,真讓人覺得服務品質很差。


本篇文章回覆於2010-09-30 23:49
--未登入的會員無法查看對方簽名檔--
[變換順序]
1
 

回覆
如要回應,請先登入.