pizzaseo.com RRSIG IN denied

  • Hallo zusammen,


    ich hoffe hier hat jemand eine Idee, ich bekomme seit ein paar Tagen tonnenweise folgende Einträge im Log:

    Ich weiß leider nicht, wie ich das handhaben soll und hoffe auf Tips von euch.

    Veiel Grüße

  • Genau diese Meldungen sehe ich auch in den zwei Servern, die ich hier bei netcup habe. Gute Frage, was man dagegen tun könnte. Die Requests kommen ja von verschiedensten IP Adressen.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • DNS Amplification Attack (nicht auf deinen Server, das Opfer ist jemand anders) ... Die IPs sind über den ganzen Globus verstreut. Entweder ein Botnetz oder es sind zufällig gewählte IPs. Habe ich momentan seit einigen Tagen auch. Kann sein, dass damit die Nameserver von pizzaseo.com überlastet werden sollen bzw einfach die Bandbreite von deren Nameserver. Da gibt es viele Varianten. Ich interpretiere das "denied" am Ende einfach mal so, dass die Anfragen von meinen Nameservern nicht beantwortet wurden und sich der Schaden darauf beschränkt, dass die Logdatei durch die Anfragen vollgemüllt wird (ca 20.000 Zeilen pro Tag, jeweils ca 200 Anfragen pro IP). Man könnte das durch fail2ban eindämmen, aber das hat möglicherweise auch unerwünschte Nebenwirkungen. Deswegen warte ich jetzt zunächst mal bis Montag, ob sich die Anfrageflut bis dahin im Sande verläuft. Falls nicht, denke ich eventuell über fail2ban nach oder deaktiviere die Nameserver erst mal. Nennenswerte Systemlast erzeugen die Anfragen bei meinen Servern aber jedenfalls nicht, das geht im Grundrauschen unter ;).

  • Genau diese Meldungen sehe ich auch in den zwei Servern, die ich hier bei netcup habe. Gute Frage, was man dagegen tun könnte. Die Requests kommen ja von verschiedensten IP Adressen.

    Ich interpretiere das "denied" am Ende einfach mal so, dass die Anfragen von meinen Nameservern nicht beantwortet wurden und sich der Schaden darauf beschränkt, dass die Logdatei durch die Anfragen vollgemüllt wird (ca 20.000 Zeilen pro Tag, jeweils ca 200 Anfragen pro IP).

    Die obengenannte Domäne ist (noch?) nicht darunter, aber meine unbound-Logs zeigen derartige Einträge nicht; das könnte mit an der Verwendung von

    The Big Blocklist Collection liegen, was derzeit akkumuliert Anfragen zu mehr als 113.000 Domänen blockiert ("redirect"/"A 0.0.0.0"/"AAAA ::").

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Kann mir jemand jetzt erklären, was die Meldung bedeutet? Wenn ich Attack lese und Botnetz impliziert das für mich, dass ich an meinem Server nen Problem habe oder nicht?


    Ich nutze derzeit externe Nameserver, dann deinstalliere ich einfach BIND DNS server im Plesk und dann sollte mich das Problem doch nicht interessieren oder?

  • Kann mir jemand jetzt erklären, was die Meldung bedeutet? Wenn ich Attack lese und Botnetz impliziert das für mich, dass ich an meinem Server nen Problem habe oder nicht?

    Ich nutze derzeit externe Nameserver, dann deinstalliere ich einfach BIND DNS server im Plesk und dann sollte mich das Problem doch nicht interessieren oder?

    tabhat die Frage im ersten Satz bereits beantwortet (siehe hier) :

    DNS Amplification Attack (nicht auf deinen Server, das Opfer ist jemand anders) ... Die IPs sind über den ganzen Globus verstreut. […]

    Nutzung alternativer/eigener Nameserver nur für den eigenen Gebrauch und ggf. unter Einbindung entsprechender blacklists sollten einer unfreiwilligen Beteiligung des eigenen VServers einen Riegel vorschieben, ja. Ich selbst bin sehr zufrieden mit DNSCrypt-Proxy als "Uplink".

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Ja, mit einer Deinstallation, Deaktivierung oder Portschließung solltest du Ruhe haben. Ich betreibe meine Nameserver jedoch selber. Deswegen kann ich das nicht so einfach machen.


    Dein Server wird nach dem Ergebnis für den Recordtype RRSIG von pizzaseo.com gefragt. Da dein Server aber anscheinend kein Open resolver ist (was schon mal sehr gut ist) und sich auch nicht für die Zone pizzaseo.com zuständig fühlt, antwortet er mit „denied“.


    Das ist ein ganz typisches Verhalten für eine „DNS Amplification Attack“. RRSIG Einträge sind nämlich verhältnismäßig relativ groß. Der Angreifer schickt diese DNS Anfrage an deinen Server und fügt als Quell-IP-Adresse die Adresse des Opfers ein (bei UDP ist das möglich). Wenn dein Server jetzt nicht so eingerichtet wäre, wie er jetzt eingerichtet ist, würde er dem Opfer die RRSIG-Antwort schicken und damit zumüllen.

    Der Angreifer schickt also nur eine kleine Anfrage an die „Verstärker“, diese antworten aber mit viel größeren Antworten dem Opfer.


    Edit:

    Mist, wieder zu lang gebraucht. m_ueberall war schneller ^^

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Mittlerweile sind die pizzaseo DNS-Queries (fast) Geschichte, eine Query hatte ich gestern noch, da hat wohl einer nicht mitbekommen, dass der Krieg vorbei ist. Oder das ist der Späher, der die anderen benachrichtigt, wenn der Admin das entsprechende fail2ban jail wieder deaktiviert hat. ^^;)