[Discuss] DNS-Amplification Attack Security Patch

Michael Bauer (spam-protected)
Mi Jun 13 11:22:06 CEST 2012 

Hint: Einfach den DNS server eintragen, der vom DNSmasq gefragt wird, sollt
gehn. Und ja man kann dem DHCP server normalerweise sagen welchen DNS
Server man fragen will (wieso da ueberhaupt ein dnsmasq drauf ist, ist mir
raetselhaft).

Mihi

On Wed, Jun 13, 2012 at 07:13:45AM +0200, Joe Semler wrote:
> Lass uns das heute am Gerät eingrenzen. Sicher nur me Kleinigkeit
> Joe
> 
> Am 12.06.2012 um 23:33 schrieb Martin Heinrich <(spam-protected)>:
> 
> > Hallo nochmal,
> > 
> > noch spannender als unten beschrieben ist, dass der Patch nicht die Ursache war (jetzt bin ich mit Patch online), aber eine Lösung...
> > Wie seht ihr das?
> > 
> > Gute Nacht!
> > 
> > From: (spam-protected)
> > To: (spam-protected)
> > Date: Tue, 12 Jun 2012 22:57:39 +0200
> > Subject: [Discuss] DNS-Amplification Attack Security Patch
> > 
> > Hallo,
> > 
> > seit einiger Zeit komm ich von meinem LAN nicht mehr ins Netz.
> > Zunächst scheint es wie ein DNS Problem, aber auch per IP surfen klappt nicht so richtig.
> > 
> > Die Symptome sind vage. Fix ist, dass ich von der AirGrid (= FF-Grenze) alles mögliche pingen kann.
> > Vom Router dahinter bereits nicht mehr.
> > 
> > Wider Erwarten hat jetzt das rückgängig Machen des Patches von Joe geholfen!?
> > Also:
> > :~# uci remove (spam-protected)[0].notinterface
> > :~# uci commit
> > :~# reboot
> > ... und ich bin wieder online.
> > 
> > :~# uci show dhcp
> > (spam-protected)[0]=dnsmasq
> > (spam-protected)[0].domainneeded=1
> > (spam-protected)[0].boguspriv=1
> > (spam-protected)[0].filterwin2k=0
> > (spam-protected)[0].localise_queries=1
> > (spam-protected)[0].rebind_protection=1
> > (spam-protected)[0].rebind_localhost=1
> > (spam-protected)[0].local=/lan/
> > (spam-protected)[0].domain=lan
> > (spam-protected)[0].expandhosts=1
> > (spam-protected)[0].nonegcache=0
> > (spam-protected)[0].authoritative=1
> > (spam-protected)[0].readethers=1
> > (spam-protected)[0].leasefile=/tmp/dhcp.leases
> > (spam-protected)[0].resolvfile=/tmp/resolv.conf.auto
> > dhcp.lan=dhcp
> > dhcp.lan.interface=lan
> > dhcp.lan.ignore=1
> > dhcp.wan=dhcp
> > dhcp.wan.interface=wan
> > dhcp.wan.ignore=1
> > 
> > Ich werde den Patch jetzt wieder einspielen und mit dem Modem online gehen; ist ja doch nur ein Testnetzwerk ;-P
> > Hat jemand eine Idee, was es da hat?
> > 
> > :~# uci add_list (spam-protected)[0].notinterface=air0
> > :~# uci commit dhcp
> > :~# reboot
> > 
> > LG,
> > heinrichmartin
> > 
> > From (spam-protected)  Sun May 13 10:52:00 2012
> > From: (spam-protected) (Josef Semler)
> > Date: Sun, 13 May 2012 10:52:00 +0200
> > Subject: [Wien] =?iso-8859-1?q?DNS-Anplification_Attck=3A_Securty_Patch_f?=
> >     =?iso-8859-1?q?=FCr_Backfire_Vienna?=
> > Message-ID: <(spam-protected)>
> > 
> > Liebe Funkfeuer-Community,
> > seit geraumer Zeit treten in unserem Funkfeuer-Netz .sog. DNS-Anplification
> > Attacken <http://de.wikipedia.org/wiki/DNS_Amplification_Attack> auf. Unser
> > Aaron und seine CERT <http://www.cert.at/> haben darauf bereits im Februar
> > 2012 hingewiesen <http://www.cert.at/services/blog/20120217125653-154.html>.
> > Bei diesen Angriffen werden die, in unseren Routern eingebauten DNS-Server
> > mit einer manipulierten IP-Adresse abgefragt und senden ihre Antwort an
> > diese Adresse.
> > Somit ist mit einer kurzen Anfrage von wenigen Byte eine viel längere
> > Antwort möglich (Amplification). Wenn dies von vielen DNS-Servern im Netz
> > geschieht könnt ihr euch vorstellen, was mit der Zieladresse passiert.
> > 
> > Im diesen Leuten die Chance zu nehmen, unsere Router für ihr böses Spiel zu
> > missbrauchen bitte ich euch, den DNS-Server auf allen ÖFFENTLCHEN
> > Interfaces zu deaktivieren. Das geht so:
> > 
> > 
> >    1. *Verbindet euch mit einem SSH-Client (z.B. Putty unter
> > Windows<http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe>)
> >    mit eurem Router.*
> > 
> >    Dazu nur den Namen eures Devices oder die IP in das Feld HostName
> >    eintragen und mit "Open" einsteigen.
> >    Als User "root" und dann euer Admin-Passwort eingeben, schon seid ihr
> >    angemeldet.
> > 
> >    2. *Nur mehr für JEDE Schnittstelle, auf der ihr eine Funkfeuer
> >    IP-Adresse (78.41.xx.xx, oder 193.238.xx.xx) konfiguriert habt, das Kommando
> >    *
> > 
> >    *uci add_list (spam-protected)[0].notinterface=[Name der Schnittstelle]
> >    uci commit dhcp*
> > 
> >    Anm.: Die richtigen Namen findet ihr über das Webinterface unter
> >    Netzwerk, Schnittstellen. Aber VORSICHT! Wenn ihr versehentlich den
> >    DNS-Server auf euren lokalen Schnittstellen (meist LAN) deaktiviert, kommt
> >    ihr nur mehr eingeschränkt ins Internet
> > 
> >    1. *Bei Routern über die ihr aus eurem lokalen Netz ins Internet gelangt
> >       ist das daher:*
> >       *uci add_list (spam-protected)[0].notinterface=air0*
> >       *uci commit dhcp
> > 
> >       *
> >       2. *Router auf denen beide (oder mehrere) Schnittstellen mit
> >       FunkFeuer-IPs bestückt sind (reine Mesh-Devices)
> >       **uci add_list (spam-protected)[0].notinterface=air0
> >       **uci add_list (spam-protected)[0].notinterface=lan
> >       **uci commit dhcp
> > 
> >       *
> >    3. *Restarten oder besser rebooten*
> > 
> > Anm.: Leute die ihre Änderungen auch kontrollieren wollen können über putty
> > und das Kommando "*uci show dhcp" *die Einstellungen des DNS/DHCP-Servers
> > abfragen.
> > Darin solltet ihr den Eintrag "(spam-protected)[0].notinterface=air0" oder bei
> > zwei Schnittstellen "(spam-protected)[0].notinterface=air0 lan" finden.
> > 
> > Sollte euch das zu mühsam sein, könnt ihr aber auch auf den Backfire-Vienna
> > Security Patch (V2.2.1) warten. (Was ich aber aufgrund der stark steigenden
> > Zahl an Attacken NICHT EMPFEHLE). Dieser wird dann gleich die Möglichkeit
> > besitzen, die Interfaces über das GUI zu konfigurieren.
> > 
> > PS: Danke an Aaron, Gottfried, Daniel und Runout bez. eurer zielführenden
> > Beiträge
> > 
> > LG
> > JoeSemler
> > Backfire Vienna Developement
> > 
> > -- Discuss mailing list (spam-protected) https://lists.funkfeuer.at/mailman/listinfo/discuss
> > -- 
> > Discuss mailing list
> > (spam-protected)
> > https://lists.funkfeuer.at/mailman/listinfo/discuss

> -- 
> Discuss mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/discuss


-- 
Two molecules clanking against each other require an observer to become
scientific data.
	-- Allen Ginsberg - Cosmopolitan Greetings 1986

Mehr Informationen über die Mailingliste Discuss