[Discuss] DNS-Amplification Attack Security Patch

Martin Heinrich (spam-protected)
Di Jun 12 23:33:42 CEST 2012


Hallo nochmal,

noch spannender als unten beschrieben ist, dass der Patch nicht die Ursache war (jetzt bin ich mit Patch online), aber eine Lösung...
Wie seht ihr das?

Gute Nacht!

From: (spam-protected)
To: (spam-protected)
Date: Tue, 12 Jun 2012 22:57:39 +0200
Subject: [Discuss] DNS-Amplification Attack Security Patch





Hallo,

seit einiger Zeit komm ich von meinem LAN nicht mehr ins Netz.
Zunächst scheint es wie ein DNS Problem, aber auch per IP surfen klappt nicht so richtig.

Die Symptome sind vage. Fix ist, dass ich von der AirGrid (= FF-Grenze) alles mögliche pingen kann.
Vom Router dahinter bereits nicht mehr.

Wider Erwarten hat jetzt das rückgängig Machen des Patches von Joe geholfen!?
Also:
:~# uci remove (spam-protected)[0].notinterface
:~# uci commit
:~# reboot
... und ich bin wieder online.

:~# uci show dhcp
(spam-protected)[0]=dnsmasq
(spam-protected)[0].domainneeded=1
(spam-protected)[0].boguspriv=1
(spam-protected)[0].filterwin2k=0
(spam-protected)[0].localise_queries=1
(spam-protected)[0].rebind_protection=1
(spam-protected)[0].rebind_localhost=1
(spam-protected)[0].local=/lan/
(spam-protected)[0].domain=lan
(spam-protected)[0].expandhosts=1
(spam-protected)[0].nonegcache=0
(spam-protected)[0].authoritative=1
(spam-protected)[0].readethers=1
(spam-protected)[0].leasefile=/tmp/dhcp.leases
(spam-protected)[0].resolvfile=/tmp/resolv.conf.auto
dhcp.lan=dhcp
dhcp.lan.interface=lan
dhcp.lan.ignore=1
dhcp.wan=dhcp
dhcp.wan.interface=wan
dhcp.wan.ignore=1

Ich werde den Patch jetzt wieder einspielen und mit dem Modem online gehen; ist ja doch nur ein Testnetzwerk ;-P
Hat jemand eine Idee, was es da hat?

:~# uci add_list (spam-protected)[0].notinterface=air0
:~# uci commit dhcp
:~# reboot

LG,
heinrichmartin

>From (spam-protected)  Sun May 13 10:52:00 2012
From: (spam-protected) (Josef Semler)
Date: Sun, 13 May 2012 10:52:00 +0200
Subject: [Wien] =?iso-8859-1?q?DNS-Anplification_Attck=3A_Securty_Patch_f?=
    =?iso-8859-1?q?=FCr_Backfire_Vienna?=
Message-ID: <(spam-protected)>

Liebe Funkfeuer-Community,
seit geraumer Zeit treten in unserem Funkfeuer-Netz .sog. DNS-Anplification
Attacken <http://de.wikipedia.org/wiki/DNS_Amplification_Attack> auf. Unser
Aaron und seine CERT <http://www.cert.at/> haben darauf bereits im Februar
2012 hingewiesen <http://www.cert.at/services/blog/20120217125653-154.html>.
Bei diesen Angriffen werden die, in unseren Routern eingebauten DNS-Server
mit einer manipulierten IP-Adresse abgefragt und senden ihre Antwort an
diese Adresse.
Somit ist mit einer kurzen Anfrage von wenigen Byte eine viel längere
Antwort möglich (Amplification). Wenn dies von vielen DNS-Servern im Netz
geschieht könnt ihr euch vorstellen, was mit der Zieladresse passiert.

Im diesen Leuten die Chance zu nehmen, unsere Router für ihr böses Spiel zu
missbrauchen bitte ich euch, den DNS-Server auf allen ÖFFENTLCHEN
Interfaces zu deaktivieren. Das geht so:


   1. *Verbindet euch mit einem SSH-Client (z.B. Putty unter
Windows<http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe>)
   mit eurem Router.*

   Dazu nur den Namen eures Devices oder die IP in das Feld HostName
   eintragen und mit "Open" einsteigen.
   Als User "root" und dann euer Admin-Passwort eingeben, schon seid ihr
   angemeldet.

   2. *Nur mehr für JEDE Schnittstelle, auf der ihr eine Funkfeuer
   IP-Adresse (78.41.xx.xx, oder 193.238.xx.xx) konfiguriert habt, das Kommando
   *

   *uci add_list (spam-protected)[0].notinterface=[Name der Schnittstelle]
   uci commit dhcp*

   Anm.: Die richtigen Namen findet ihr über das Webinterface unter
   Netzwerk, Schnittstellen. Aber VORSICHT! Wenn ihr versehentlich den
   DNS-Server auf euren lokalen Schnittstellen (meist LAN) deaktiviert, kommt
   ihr nur mehr eingeschränkt ins Internet

   1. *Bei Routern über die ihr aus eurem lokalen Netz ins Internet gelangt
      ist das daher:*
      *uci add_list (spam-protected)[0].notinterface=air0*
      *uci commit dhcp

      *
      2. *Router auf denen beide (oder mehrere) Schnittstellen mit
      FunkFeuer-IPs bestückt sind (reine Mesh-Devices)
      **uci add_list (spam-protected)[0].notinterface=air0
      **uci add_list (spam-protected)[0].notinterface=lan
      **uci commit dhcp

      *
   3. *Restarten oder besser rebooten*

Anm.: Leute die ihre Änderungen auch kontrollieren wollen können über putty
und das Kommando "*uci show dhcp" *die Einstellungen des DNS/DHCP-Servers
abfragen.
Darin solltet ihr den Eintrag "(spam-protected)[0].notinterface=air0" oder bei
zwei Schnittstellen "(spam-protected)[0].notinterface=air0 lan" finden.

Sollte euch das zu mühsam sein, könnt ihr aber auch auf den Backfire-Vienna
Security Patch (V2.2.1) warten. (Was ich aber aufgrund der stark steigenden
Zahl an Attacken NICHT EMPFEHLE). Dieser wird dann gleich die Möglichkeit
besitzen, die Interfaces über das GUI zu konfigurieren.

PS: Danke an Aaron, Gottfried, Daniel und Runout bez. eurer zielführenden
Beiträge

LG
JoeSemler
Backfire Vienna Developement 		 	   		  

-- 
Discuss mailing list
(spam-protected)
https://lists.funkfeuer.at/mailman/listinfo/discuss 		 	   		  
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120612/21fef26e/attachment.htm>


Mehr Informationen über die Mailingliste Discuss