[Discuss] DNS-Amplification Attack Security Patch

Joe Semler (spam-protected)
Mi Jun 13 07:13:45 CEST 2012 

Lass uns das heute am Gerät eingrenzen. Sicher nur me Kleinigkeit
Joe

Am 12.06.2012 um 23:33 schrieb Martin Heinrich <(spam-protected)>:

> Hallo nochmal,
> 
> noch spannender als unten beschrieben ist, dass der Patch nicht die Ursache war (jetzt bin ich mit Patch online), aber eine Lösung...
> Wie seht ihr das?
> 
> Gute Nacht!
> 
> From: (spam-protected)
> To: (spam-protected)
> Date: Tue, 12 Jun 2012 22:57:39 +0200
> Subject: [Discuss] DNS-Amplification Attack Security Patch
> 
> Hallo,
> 
> seit einiger Zeit komm ich von meinem LAN nicht mehr ins Netz.
> Zunächst scheint es wie ein DNS Problem, aber auch per IP surfen klappt nicht so richtig.
> 
> Die Symptome sind vage. Fix ist, dass ich von der AirGrid (= FF-Grenze) alles mögliche pingen kann.
> Vom Router dahinter bereits nicht mehr.
> 
> Wider Erwarten hat jetzt das rückgängig Machen des Patches von Joe geholfen!?
> Also:
> :~# uci remove (spam-protected)[0].notinterface
> :~# uci commit
> :~# reboot
> ... und ich bin wieder online.
> 
> :~# uci show dhcp
> (spam-protected)[0]=dnsmasq
> (spam-protected)[0].domainneeded=1
> (spam-protected)[0].boguspriv=1
> (spam-protected)[0].filterwin2k=0
> (spam-protected)[0].localise_queries=1
> (spam-protected)[0].rebind_protection=1
> (spam-protected)[0].rebind_localhost=1
> (spam-protected)[0].local=/lan/
> (spam-protected)[0].domain=lan
> (spam-protected)[0].expandhosts=1
> (spam-protected)[0].nonegcache=0
> (spam-protected)[0].authoritative=1
> (spam-protected)[0].readethers=1
> (spam-protected)[0].leasefile=/tmp/dhcp.leases
> (spam-protected)[0].resolvfile=/tmp/resolv.conf.auto
> dhcp.lan=dhcp
> dhcp.lan.interface=lan
> dhcp.lan.ignore=1
> dhcp.wan=dhcp
> dhcp.wan.interface=wan
> dhcp.wan.ignore=1
> 
> Ich werde den Patch jetzt wieder einspielen und mit dem Modem online gehen; ist ja doch nur ein Testnetzwerk ;-P
> Hat jemand eine Idee, was es da hat?
> 
> :~# uci add_list (spam-protected)[0].notinterface=air0
> :~# uci commit dhcp
> :~# reboot
> 
> LG,
> heinrichmartin
> 
> From (spam-protected)  Sun May 13 10:52:00 2012
> From: (spam-protected) (Josef Semler)
> Date: Sun, 13 May 2012 10:52:00 +0200
> Subject: [Wien] =?iso-8859-1?q?DNS-Anplification_Attck=3A_Securty_Patch_f?=
>     =?iso-8859-1?q?=FCr_Backfire_Vienna?=
> Message-ID: <(spam-protected)>
> 
> Liebe Funkfeuer-Community,
> seit geraumer Zeit treten in unserem Funkfeuer-Netz .sog. DNS-Anplification
> Attacken <http://de.wikipedia.org/wiki/DNS_Amplification_Attack> auf. Unser
> Aaron und seine CERT <http://www.cert.at/> haben darauf bereits im Februar
> 2012 hingewiesen <http://www.cert.at/services/blog/20120217125653-154.html>.
> Bei diesen Angriffen werden die, in unseren Routern eingebauten DNS-Server
> mit einer manipulierten IP-Adresse abgefragt und senden ihre Antwort an
> diese Adresse.
> Somit ist mit einer kurzen Anfrage von wenigen Byte eine viel längere
> Antwort möglich (Amplification). Wenn dies von vielen DNS-Servern im Netz
> geschieht könnt ihr euch vorstellen, was mit der Zieladresse passiert.
> 
> Im diesen Leuten die Chance zu nehmen, unsere Router für ihr böses Spiel zu
> missbrauchen bitte ich euch, den DNS-Server auf allen ÖFFENTLCHEN
> Interfaces zu deaktivieren. Das geht so:
> 
> 
>    1. *Verbindet euch mit einem SSH-Client (z.B. Putty unter
> Windows<http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe>)
>    mit eurem Router.*
> 
>    Dazu nur den Namen eures Devices oder die IP in das Feld HostName
>    eintragen und mit "Open" einsteigen.
>    Als User "root" und dann euer Admin-Passwort eingeben, schon seid ihr
>    angemeldet.
> 
>    2. *Nur mehr für JEDE Schnittstelle, auf der ihr eine Funkfeuer
>    IP-Adresse (78.41.xx.xx, oder 193.238.xx.xx) konfiguriert habt, das Kommando
>    *
> 
>    *uci add_list (spam-protected)[0].notinterface=[Name der Schnittstelle]
>    uci commit dhcp*
> 
>    Anm.: Die richtigen Namen findet ihr über das Webinterface unter
>    Netzwerk, Schnittstellen. Aber VORSICHT! Wenn ihr versehentlich den
>    DNS-Server auf euren lokalen Schnittstellen (meist LAN) deaktiviert, kommt
>    ihr nur mehr eingeschränkt ins Internet
> 
>    1. *Bei Routern über die ihr aus eurem lokalen Netz ins Internet gelangt
>       ist das daher:*
>       *uci add_list (spam-protected)[0].notinterface=air0*
>       *uci commit dhcp
> 
>       *
>       2. *Router auf denen beide (oder mehrere) Schnittstellen mit
>       FunkFeuer-IPs bestückt sind (reine Mesh-Devices)
>       **uci add_list (spam-protected)[0].notinterface=air0
>       **uci add_list (spam-protected)[0].notinterface=lan
>       **uci commit dhcp
> 
>       *
>    3. *Restarten oder besser rebooten*
> 
> Anm.: Leute die ihre Änderungen auch kontrollieren wollen können über putty
> und das Kommando "*uci show dhcp" *die Einstellungen des DNS/DHCP-Servers
> abfragen.
> Darin solltet ihr den Eintrag "(spam-protected)[0].notinterface=air0" oder bei
> zwei Schnittstellen "(spam-protected)[0].notinterface=air0 lan" finden.
> 
> Sollte euch das zu mühsam sein, könnt ihr aber auch auf den Backfire-Vienna
> Security Patch (V2.2.1) warten. (Was ich aber aufgrund der stark steigenden
> Zahl an Attacken NICHT EMPFEHLE). Dieser wird dann gleich die Möglichkeit
> besitzen, die Interfaces über das GUI zu konfigurieren.
> 
> PS: Danke an Aaron, Gottfried, Daniel und Runout bez. eurer zielführenden
> Beiträge
> 
> LG
> JoeSemler
> Backfire Vienna Developement
> 
> -- Discuss mailing list (spam-protected) https://lists.funkfeuer.at/mailman/listinfo/discuss
> -- 
> Discuss mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/discuss
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120613/35c96ca0/attachment.htm>

Mehr Informationen über die Mailingliste Discuss