Permalink

1

Så blev vi ramt igen – DNS Reflection

En lille måned er gået siden sidst, jeg fik skrevet noget. Ikke fordi, at jeg ikke gider og har mistet lysten – nej, vi har simpelthen bare så travlt, at bloggen ikke altid prioriteres.

Jeg har tidligere skrevet om, hvordan DNS Reflection Attack fungerer, og hvordan det kan bruges til at nedlægge et website, en server eller en hel udbyder. Det blev vi så ramt af igen. Ikke bare én gang, men faktisk 6 dage i streg. Samme tidspunkt, samme destination. Så kan man jo tænke lidt over dét…

Anyway, så kan man som ansvarlig systemadministrator selvfølgelig ikke bare lade dette stå til. Det er selvfølgelig politianmeldt, men ærligt talt – det kommer der sgu nok ikke noget ud af. Nej, vejen frem er at samarbejde med andre systemadministratorer verden rundt. De IP adresser, som angreb os, gjorde det jo ikke bevidst (i dette tilfælde). De blev misbrugt til det…

Vores overvågningssystemer opsamlede alle ip-adresser, som angreb os. Det var totalt set ca. 50.000 ip-adresser som gav den gas. Nogle sendte kun et par tusinde pakker, andre tættere på en million. Jeg skrev et lille script, som kunne analysere disse logs. Sammen med IP adresser, starttidspunkt, sluttidspunkt og type af angreb, så har jeg AS nummeret. Ved at gruppere alle IP adresser på AS nummeret og derefter slå abuse-adressen op, er resten faktisk rimelig ligetil.

Abusix.org stiller en service til rådighed, som gør det muligt at lave et reverse-DNS opslag af en IP, og modtage den administrative abuse-adresse tilbage. Det tog omkring 25 minutter at køre igennem for alle blokkene, men de opfordrer da også selv til at man tager den med ro når man laver opslag, så deres service ikke overbelastes. Jeg fik abuse adressen ud med flg. code snippet:

<?php
$ipparts = explode(".", $ip);
$revip = $ipparts[3] . "." . $ipparts[2] . "." . $ipparts[1] . "." . $ipparts[0];
$dns = dns_get_record($revip . ".abuse-contacts.abusix.org", DNS_TXT); $abusecontact = $dns[0]['txt'];
?>

Herefter genererede jeg en e-mail pr. abuse-adresse, som indeholdte en tekst alá den nedenfor og alle ip adresser som tilhører den gældende afdeling. Når man sender omkring 3000 abuse mails ud, er det meget optimistisk at håbe på svar fra dem alle. Alligevel er det positivt at opleve, at rigtig mange svarer tilbage, at de enten undersøger det, at de har løst det, eller beder om flere informationer for at kunne løse det. Så hvis du selv er sysadmin: Gør verden til et lidt bedre sted og sørg for at sende abuse mails ud, så vi kan få lukket så meget ned som muligt for de botnetværk.

Ha’ en god og DDoS-fri aften!

——

Dear abuse department

I am the lead system administrator at the Danish hosting company (…).

Recently, a major Distrubuted Denial of Service (DDoS) attack has been mounted on our primary company domain: (…)

The attack, which started October 8th 2013, had the single purpose of overloading our web-servers.

We do not yet know who is behind this attack, but we are sure that a number of hosts on your networks are taking part of it.

I have written scripts to analyze the log files, and provide a succinct report to each abuse department. I have attached all IP addresses related to your abuse department below, along with the time of the attack, number of hits from each IP address and the type of attack the IP address performed against us. This will hopefully make it easier for you to identify the offenders and take appropriate action.

We urge you to react quickly to this threat within your network, and to contact us at hostmaster@(…) if you have any questions, or would like to follow up on this email. We are very eager to hear your feedback in this matter.


Best regards,

Anders Eiler
CTO,
(…)

===================================================================================================================

Start Time Finish Time IP AS Country Last Protected Peak Rate/s Total Count Attack Vector
08 Oct 00:37:01 08 Oct 02:15:50 1.2.3.4 8997 RUS a.b.c.d 44 27076 Blocked Protocol – Temp Black-Listed
08 Oct 00:44:57 08 Oct 02:16:07 1.2.3.4 8997 RUS a.b.c.d 38 27138 Blocked Protocol – Temp Black-Listed
08 Oct 00:47:38 08 Oct 02:16:14 1.2.3.4 8997 RUS a.b.c.d 38 25659 Blocked Protocol – Temp Black-Listed

Author: Anders Eiler

Anders er serie-iværksætter, programmør og teknisk chef hos Meebox. Uddannet cand.polyt ved Aalborg Universitet og tosset med det meste sport.

1 Comment

  1. Update: Jeg tror, at jeg er nået igennem de første 1.000 svar på mine udsendte abuse mails. Noget som går igen, som jeg tydeligvis glemte første gang:

    1) Husk at angiv hvilken tidszone du sidder i.
    2) Husk (om muligt!) at angive port og protokol.

    Det gør det lettere for de fleste sysadmins bare at håndtere sagen, fremfor at skulle bede om flere informationer.

Skriv et svar

Required fields are marked *.