OT: Útok na internet (minimálně tedy na ripe.net :-) )
Pavel Troller
patrol na sinus.cz
Středa Duben 11 05:51:36 CEST 2012
Zdravím,
tak se dneska ráno probudím a koukám, že mi servery nějak nezdravě vysoce
běží na bohulibou dobu 4 ráno :-). Koukám, co na nich běží, a ono DNS.
Dám si malý tcpdump a ejhle, servery jsou zavaleny dotazy na ripe.net:
05:43:45.877381 IP 72.8.190.35.53 > 89.250.251.137.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.877392 IP 72.8.190.35.53 > 89.250.251.153.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.877402 IP 72.8.190.35.53 > 89.250.251.158.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.877505 IP 72.8.190.35.53 > 89.250.243.102.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.877515 IP 72.8.190.35.53 > 89.250.251.129.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.877524 IP 72.8.190.35.53 > 89.250.251.168.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.987861 IP 72.20.42.214.53 > 89.250.251.137.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.987875 IP 72.20.42.214.53 > 89.250.251.158.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.987896 IP 72.20.42.214.53 > 89.250.251.153.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.988017 IP 72.20.42.214.53 > 89.250.243.102.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.988031 IP 72.20.42.214.53 > 89.250.251.168.53: 952+ [1au] ANY? ripe.net. (38)
05:43:45.988077 IP 72.20.42.214.53 > 89.250.251.129.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.191698 IP 72.8.190.35.53 > 89.250.251.137.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.191755 IP 72.8.190.35.53 > 89.250.251.158.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.191773 IP 72.8.190.35.53 > 89.250.251.153.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.191783 IP 72.8.190.35.53 > 89.250.243.102.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.191793 IP 72.8.190.35.53 > 89.250.251.129.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.191804 IP 72.8.190.35.53 > 89.250.251.168.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.366092 IP 72.20.42.214.53 > 89.250.251.137.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.366104 IP 72.20.42.214.53 > 89.250.251.158.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.366114 IP 72.20.42.214.53 > 89.250.251.153.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.366379 IP 72.20.42.214.53 > 89.250.243.102.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.366390 IP 72.20.42.214.53 > 89.250.251.168.53: 952+ [1au] ANY? ripe.net. (38)
05:43:46.366423 IP 72.20.42.214.53 > 89.250.251.129.53: 952+ [1au] ANY? ripe.net. (38)
Nu dobrá. Jsou to břídilové, útok zatím běží jen ze 2 IP adres. iptables
zatím vede :-).
Zajímavé je, když se pokusíte resolvovat zpětně ty adresy:
patrol na sinux:~$ host 72.20.42.214
214.42.20.72.in-addr.arpa domain name pointer .
patrol na sinux:~$ host 72.8.190.35
35.190.8.72.in-addr.arpa domain name pointer .
Můžete se zeptat i někoho renomovanějšího než jen lokálního DNS příštipkáře:
patrol na sinux:~$ host 72.20.42.214 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
214.42.20.72.in-addr.arpa domain name pointer .
Čili je vyškozený přímo primární reverzní záznam příslušné domény (stejnou
hodnotu vrací i adresy kolem).
Tedy se zdá, že nějaký Anonymák si asi hraje :-). Uvidíme, jak se to během
dne vyvine.
Zdraví Pavel
Další informace o konferenci Hw-list