Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

ZEROSHELL e ATTACCO DNS

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
campa4bt



Registrato: 17/06/11 13:33
Messaggi: 47

MessaggioInviato: Ven Ott 18, 2013 11:01 am    Oggetto: ZEROSHELL e ATTACCO DNS Rispondi citando

Salve a tutti,

mi sono trovato ad affrontare, su un Firewall Zeroshell, una problematica relativa ad attacco DNS.

Praticamente la connettività della LAN sembrava assente, o molto lenta, nonostante l'adsl, se collegata direttamente ad un pc, senza Firewall dava speed test intorno ai 8Mbit/s di DW e 2Mbit/s di UP.

Dai log di connessione si vedevano entrare in zeroshell più di 3000 query DNS al secondo. Che andavano a saturare l'upload dell'adsl rendendo inutilizzabile la connessione.

Ho provato con la RC3 ma senza successo.

WAN: 192.168.3.0/24
LAN1: 192.168.6.0/24
LAN2: 192.168.1.0/24

Allo stato attuale ho risolto con questa configurazione di Firewall sulla chain di INPUT:



Qualcuno ha altri suggerimenti?

Ero partito col bloccare gli IP attaccanti, ma era una lotta impari....Wink
Top
Profilo Invia messaggio privato
campa4bt



Registrato: 17/06/11 13:33
Messaggi: 47

MessaggioInviato: Ven Ott 25, 2013 3:19 pm    Oggetto: Rispondi citando

Ieri mi è successo di nuovo, in un'altra installazione.

Ecco cosa succedeva da 24 ore:

[img]http://www.campa4bt.it/ave.bmp[/img]

Qualcuno di voi ha metodi risolutivi più efficienti del mio, che comunque ha funzionato anche ieri?

Grazie.

Michele
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 122

MessaggioInviato: Sab Ott 26, 2013 7:54 am    Oggetto: Rispondi citando

campa4bt ha scritto:
Ieri mi è successo di nuovo, in un'altra installazione.

Ecco cosa succedeva da 24 ore:

[img]http://www.campa4bt.it/ave.bmp[/img]

Qualcuno di voi ha metodi risolutivi più efficienti del mio, che comunque ha funzionato anche ieri?

Grazie.

Michele


Io personalmente nella mia installazione ho:

Router+Firewall (commerciale) -> ZS -> rete utenti

Giaà la primo step... si ferma tutto...

my 2 cents
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Mer Ott 30, 2013 8:46 am    Oggetto: Rispondi citando

posso dirti che non sei l'unico,
in questi giorni (circa dal 28 ) sono sotto attacck DNS o qualcosa che si avvicina molto, dal tracker si puo' vedere qualcosa del tipo :

Codice:
udp      17 170 src=11.0.0.1 dst=11.0.0.8 sport=7750 dport=53 src=11.0.0.8 dst=11.0.0.1 sport=53 dport=7750 [ASSURED] mark=100 use=1
udp      17 161 src=11.0.0.1 dst=11.0.0.7 sport=63216 dport=53 src=11.0.0.7 dst=11.0.0.1 sport=53 dport=63216 [ASSURED] mark=100 use=1
udp      17 161 src=11.0.0.1 dst=11.0.0.7 sport=25266 dport=53 src=11.0.0.7 dst=11.0.0.1 sport=53 dport=25266 [ASSURED] mark=100 use=1
udp      17 171 src=11.0.0.1 dst=11.0.0.8 sport=52241 dport=53 src=11.0.0.8 dst=11.0.0.1 sport=53 dport=52241 [ASSURED] mark=100 use=1
udp      17 11 src=11.0.0.1 dst=11.0.0.7 sport=39747 dport=53 src=11.0.0.7 dst=11.0.0.1 sport=53 dport=39747 mark=100 use=1


ho provato a bloccare tutto il traffico udp sulla porta 53 sulla scheda eth0
ove e' presente quella classe di ip e dove non necessito protocollo DNS.

ma non riesco a bloccare.
il log che vedete sopra e' fatto alla velocita' di circa 500~1000 connessioni al secondo.

ho provato inserendo le regole di drop anche del singolo ip 11.0.0.1 che e' il mio gate su un router a cui non ho accesso.

Ma nulla. non riesco in nessun modo a fermare la cosa.

Se qualcuno mi aiuta sarebbe cosa gradita.
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 122

MessaggioInviato: Mer Ott 30, 2013 10:33 am    Oggetto: Rispondi citando

EmmeKappa ha scritto:
posso dirti che non sei l'unico,
in questi giorni (circa dal 28 ) sono sotto attacck DNS o qualcosa che si avvicina molto, dal tracker si puo' vedere qualcosa del tipo :

Codice:
udp      17 170 src=11.0.0.1 dst=11.0.0.8 sport=7750 dport=53 src=11.0.0.8 dst=11.0.0.1 sport=53 dport=7750 [ASSURED] mark=100 use=1
udp      17 161 src=11.0.0.1 dst=11.0.0.7 sport=63216 dport=53 src=11.0.0.7 dst=11.0.0.1 sport=53 dport=63216 [ASSURED] mark=100 use=1
udp      17 161 src=11.0.0.1 dst=11.0.0.7 sport=25266 dport=53 src=11.0.0.7 dst=11.0.0.1 sport=53 dport=25266 [ASSURED] mark=100 use=1
udp      17 171 src=11.0.0.1 dst=11.0.0.8 sport=52241 dport=53 src=11.0.0.8 dst=11.0.0.1 sport=53 dport=52241 [ASSURED] mark=100 use=1
udp      17 11 src=11.0.0.1 dst=11.0.0.7 sport=39747 dport=53 src=11.0.0.7 dst=11.0.0.1 sport=53 dport=39747 mark=100 use=1


ho provato a bloccare tutto il traffico udp sulla porta 53 sulla scheda eth0
ove e' presente quella classe di ip e dove non necessito protocollo DNS.

ma non riesco a bloccare.
il log che vedete sopra e' fatto alla velocita' di circa 500~1000 connessioni al secondo.

ho provato inserendo le regole di drop anche del singolo ip 11.0.0.1 che e' il mio gate su un router a cui non ho accesso.

Ma nulla. non riesco in nessun modo a fermare la cosa.

Se qualcuno mi aiuta sarebbe cosa gradita.


Come scritto sopra..... se non riesci ad aggiornare alla versione che risolve il baco, metti un router commerciale che fa NAT e risolvi il problema.

adsl -> router commerciale -> Z.S. -> rete interna

Ciao!
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Mer Ott 30, 2013 10:45 am    Oggetto: Rispondi citando

wind ha scritto:

Come scritto sopra..... se non riesci ad aggiornare alla versione che risolve il baco, metti un router commerciale che fa NAT e risolvi il problema.

adsl -> router commerciale -> Z.S. -> rete interna

Ciao!



Non riesco a trovare questa "VERSIONE" di cui parli che risolve il baco

io sono con la 2.0 rc3 e non trovo nessun update disponibile.

Potresti gentilmente indicarmi ove poter scaricare questo update ?
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Mer Ott 30, 2013 1:49 pm    Oggetto: Rispondi citando

ok, se a qualcuno puo' essere utile, ho tamponato bloccando tutto il traffico udp sulla 35 proveniente dal mio router 11.0.0.1

con regole simili a quelle di campa4bt

La mia rete sembra gradire Very Happy
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 122

MessaggioInviato: Gio Ott 31, 2013 7:56 am    Oggetto: Rispondi citando

EmmeKappa ha scritto:
ok, se a qualcuno puo' essere utile, ho tamponato bloccando tutto il traffico udp sulla 35 proveniente dal mio router 11.0.0.1

con regole simili a quelle di campa4bt

La mia rete sembra gradire Very Happy


Ops... mi sono perso un pezzo...

Ma la regola della chain INPUT non è DROP?

ciao!
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Ven Nov 01, 2013 11:00 pm    Oggetto: Rispondi citando

Forse ho trovato un soluzione più semplice: ho modificato lo script che abilita il server DNS (dns_enable) in modo da metterlo in ascolto solo sugli IP che mi interessano. Ecco i comandi che ho eseguito:

Codice:

cd /root/kerbynet.cgi/scripts/
vi dns_enable


Questo è il file originale (la versione di ZeroShell su cui ho fatto il test è la 2.0RC1):

Codice:

#!/bin/sh
. /etc/kerbynet.conf
echo checked > $REGISTER/system/dns/Enabled
echo "any" > $REGISTER/system/dns/listen
$SCRIPTS/dns_start


Questo è il file modificato:

Codice:

#!/bin/sh
. /etc/kerbynet.conf
echo checked > $REGISTER/system/dns/Enabled
echo "192.168.0.75; 192.168.77.254; 192.168.250.254;" > $REGISTER/system/dns/listen
$SCRIPTS/dns_start


Dove 192.168.0.75 è l'IP della LAN di ZeroShell, 192.168.75.254 è l'IP della WLAN e 192.168.250.254
è l'IP della VPN L2L. In sostanza per ogni rete su cui vi interessa abilitare il DNS andrà inserito il relativo IP attribuito a ZeroShell. Naturalmente, non va inserito l'IP dell'interfaccia di ZeroShell esposta verso internet.

Per far sopravvivere questa modifica al reboot bisogna copiare lo script in una cartella del DB per poi farne la copia in PreBoot:

Codice:

mkdir /Database/PreBoot
cp /root/kerbynet.cgi/scripts/dns_enable /Database/PreBoot


Poi nella sezione Startup/Cron in PreBoot aggiungere la seguente riga di codice:

Codice:

cp /Database/PreBoot/dns_enable /root/kerbynet.cgi/scripts/


Ho provato a modificare le opzioni del server DNS tramite il menu Options, ma sembra non avere alcun esito.

Per ora la modifica sembra funzionare correttamente. Ho notato che prima della modifica, il server DNS oltre che sull'interfaccia verso internet, era in ascolto anche sulla dummy interface (192.168.142.142). Io non ho aggiunto questo IP alla lista...

Ciao a tutti!
Top
Profilo Invia messaggio privato
fsala



Registrato: 06/11/13 15:24
Messaggi: 4

MessaggioInviato: Mer Nov 06, 2013 4:34 pm    Oggetto: Re: ZEROSHELL e ATTACCO DNS Rispondi citando

Ciao, non so... ma prova a guardare questo mio thread, perchè mi sembra tanto la stessa cosa!
http://www.zeroshell.net/forum/viewtopic.php?t=4115

campa4bt ha scritto:
Salve a tutti,
mi sono trovato ad affrontare, su un Firewall Zeroshell, una problematica relativa ad attacco DNS.
Top
Profilo Invia messaggio privato
campa4bt



Registrato: 17/06/11 13:33
Messaggi: 47

MessaggioInviato: Gio Nov 07, 2013 8:46 am    Oggetto: Rispondi citando

Per quanto mi riguarda, avevo tralasciato di riferire la CHAIN di INPUT è in policy ACCEPT.

E con oggi sono al quarto dispositivo affetto da questo problema.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it