[Wien] Aktuellerweise Blockade von gewissen UDP Paketen (DDOS Attacke)

L. Aaron Kaplan (spam-protected)
So Jun 3 11:11:31 CEST 2012


Hallo Funkfeuer Wien!

Aktuellerweise ist Funkfeuer leider in einer sogenannten DNS Amplification Attack verwickelt.
 http://de.wikipedia.org/wiki/DNS_Amplification_Attack
Erklaerungen dazu finden sich unten in der Mail.

Deshalb haben wir kurzfristig als Sofortmassnahme im speziellen diese Pakete (und nur diese!) auf dem tunnelserver geblockt.

Du solltest davon nichts mitbekommen, ausser, dass das Funkfnetz wieder geht weil viel weniger sinnlose Pakete durch die Luft schwirren.

Da wir aber im Funkfeuer Vorstand *super* vorsichtig sind, was Blocken von Paketen angeht (das ist meines Wissens nach das erste Mal, dass wir so etwas fuer's Funknetz aus technischen Gruenden machen muessen - denn die Alternative waere, dass gar nichts mehr geht), moechte ich euch die Blockade erstens genau erklaeren und zweitens - wenn wer wirklich das nicht will, dann kann er raus-optieren.
(empfehle ich aber nicht!). Mail genuegt.

Schlussendlich werden wir eure *aktive*Mithilfe* benoetigen, um die offenen/verwundbaren openwrt Router, zu patchen bzw. umzukonfigurieren. Dann koennen wir die Blockade am Tunnelserver wieder entfernen.

Hier findet sich eine Liste der betroffenen IP Adressen im Funkfeuer Netz:
  http://texas.funkfeuer.at/~aaron/ff-ranges.txt
Bitte ueberpruefen, ob die eigene IP Adresse(n) drinnen vorkommen.

Hier kannst du ueberpruefen, ob deine IP Adresse noch immer open recursive ist:
  http://texas.funkfeuer.at/cgi-bin/openrecursor.pl



lg,
L. Aaron Kaplan



[1] distributed denial of service. Siehe: http://en.wikipedia.org/wiki/Denial-of-service_attack
http://de.wikipedia.org/wiki/Denial_of_Service

[2] http://de.wikipedia.org/wiki/DNS_Amplification_Attack
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf


--- snip --- detaillierte Erklaerung --- snip ---

 am Donnerstag den 31.5.2012 haben wir einen Bericht vom CERT.lv (littauischen
CERT) erhalten, dass ein Internetservice Provider (ISP) in Littauen durch einen
DDOS [1] Angriff betroffen war.  Unsere IP Adressen waren dabei ebenfalls
involviert. CERT.lv hat somit berichtet, dass wir (unabsichtliche) 
Mitangreifer waren. Hier findest du eine Liste von IP Adressen, die involviert waren.
Bitte ueberpruefe, ob du auch beteiligt warst.


Nach etwas Recherche bin ich draufgekommen (wurde auch von CERT.lv bestaetigt),
dass es sich hierbei um einen sogenannten DNS-Amplification Attack [2] handelt.
Das heisst vereinfacht gesagt, dass jemand am Internet unseren DNS Nameserver
ein *kleines* DNS Paket geschickt hat, aber die Absenderadresse gefaelscht hat.
Unsere DNS Server antworten mit einem *grossen* Antwortpaket ("amplification")
und schicken es an die gefaelschte Absender- adresse. In diesem Fall, der
littauische ISP.
Einfache Graphik: http://securitytnt.com/wp-content/uploads/2007/02/dns-amplification-attack-big.jpg

(bzw. mittlerweile aendern sich die Ziele laufend, aber das ist jetzt mal nebensaechlich).


Warum funktioniert das bei uns?
1) UDP Pakete koennen gefaelscht werden. Das koennen wir derzeit nicht aendern.
Quasi eine Altlast aus den Anfangszeiten des Internets.

2) Dein openwrt router ist ein sogenannter "open recursive DNS Server".
Das kann man aendern!
Vereinfacht gesagt, musst du nur deinem DNS Server (dnsmasq) sagen, dass er nicht auf
Anfragen von ueberall aus der Welt antworten soll.
Openwrt verwendet dnsmasq. Attacht ist eine Mail von Joe, die genau erkleart, wie man das in openwrt korrekt einstellt.


---------- snip -- Abhilfe -- mail vom Joe ---- snip ---------


Liebe Funkfeuer-Community,
seit geraumer Zeit treten in unserem Funkfeuer-Netz .sog. DNS-Anplification Attacken auf. Unser Aaron und seine CERT haben daraufbereits im Februar 2012 hingewiesen.
Bei diesen Angriffen werden die, in unseren Routern eingebauten DNS-Server mit einer manipulierten IP-Adresse abgefragt und senden ihre Antwort an diese Adresse.
Somit ist mit einer kurzen Anfrage von wenigen Byte eine viel längere Antwort möglich (Amplification). Wenn dies von vielen DNS-Servern im Netz geschieht könnt ihr euch vorstellen, was mit der Zieladresse passiert.

Im diesen Leuten die Chance zu nehmen, unsere Router für ihr böses Spiel zu missbrauchen bitte ich euch, den DNS-Server auf allen ÖFFENTLCHEN Interfaces zu deaktivieren. Das geht so:

	• Verbindet euch mit einem SSH-Client (z.B. Putty unter Windows) mit eurem Router.

Dazu nur den Namen eures Devices oder die IP in das Feld HostName eintragen und mit "Open" einsteigen.
Als User "root" und dann euer Admin-Passwort eingeben, schon seid ihr angemeldet.

	• Nur mehr für JEDE Schnittstelle, auf der ihr eine Funkfeuer IP-Adresse (78.41.xx.xx, oder 193.238.xx.xx) konfiguriert habt, das Kommando

uci add_list (spam-protected)[0].notinterface=[Name der Schnittstelle]
uci commit dhcp

Anm.: Die richtigen Namen findet ihr über das Webinterface unter Netzwerk, Schnittstellen. Aber VORSICHT! Wenn ihr versehentlich den DNS-Server auf euren lokalen Schnittstellen (meist LAN) deaktiviert, kommt ihr nur mehr eingeschränkt ins Internet

		• Bei Routern über die ihr aus eurem lokalen Netz ins Internet gelangt ist das daher:
uci add_list (spam-protected)[0].notinterface=air0
uci commit dhcp

		• Router auf denen beide (oder mehrere) Schnittstellen mit FunkFeuer-IPs bestückt sind (reine Mesh-Devices)
uci add_list (spam-protected)[0].notinterface=air0
uci add_list (spam-protected)[0].notinterface=lan
uci commit dhcp

	• Restarten oder besser rebooten
Anm.: Leute die ihre Änderungen auch kontrollieren wollen können über putty und das Kommando "uci show dhcp" die Einstellungen des DNS/DHCP-Servers abfragen.
Darin solltet ihr den Eintrag "(spam-protected)[0].notinterface=air0" oder bei zwei Schnittstellen "(spam-protected)[0].notinterface=air0 lan" finden.

Sollte euch das zu mühsam sein, könnt ihr aber auch auf den Backfire-Vienna Security Patch (V2.2.1) warten. (Was ich aber aufgrund der stark steigenden Zahl an Attacken NICHT EMPFEHLE). Dieser wird dann gleich die Möglichkeit besitzen, die Interfaces über das GUI zu konfigurieren.

PS: Danke an Aaron, Gottfried, Daniel und Runout bez. eurer zielführenden Beiträge

LG
JoeSemler
Backfire Vienna Developement 









Mehr Informationen über die Mailingliste Wien