Jump to content
LegendKiller

Port DNS (cerere si interogare)

Recommended Posts

Posted

Salutare,

Putin ajutor daca se poate.

Cand vin cereri catre un server de DNS vin pe portul 53 sau port random catre 53?

sourceIP:53 -> destIP:53 e corect sau merge si sourceIP:1028 -> destIP:53?

destIP este serverul meu de DNS.

 

Aseara am avut trafica sub forma sourceIP:1029 (UDP) -> destIP:53(UDP).

Pot sa blochez intr-un firewall tot ce vine sub forma sourceIP:(alt port decat 53) -> destIP:53 si sa las allow doar sourceIP:53 destIP:53?

 

O sa mai functioneze serverul DNS (cereri si raspunsuri)?

Multumesc.

Posted

Salut,

 

Ca sa-ti functioneze corecte ai nevoie sa permiti pe serverul DNS portul 53 udp (incoming/outgoing) si port 53 tcp (in/out).

 

Ca idee eu personal pe servere am reject la tot ce inseamna UDP (pe incoming) cu exceptia porturilor 20,21 (FTP), 53 (DNS).

Sursa n-o sa-ti vina de pe portul 53. Sursa iti vine de obicei de pe porturi mai mari de 1023 (de-asta ti-a si aparut 1029). Important este ca tu sa permiti accesul catre serverul tau pe portul 53. Daca nu ai serviciu de ftp pe serverul upd poti sa tai si 20,21. Depinde ce servicii ai pe acel server si ce anume vrei sa faci cu el (in functie de asta poti avea nevoie de anumite porturi deschise sau nu).

 

Poti sa te uiti peste tablelul asta sa-ti faci o idee:

https://technet.microsoft.com/nl-nl/library/dd197515(v=ws.10).aspx (este vorba de Windows Server dar standardul DNS este acelasi si porturile utilizate sunt tot aceleasi indiferent ca rulezi serverul DNS pe linunx/windows etc).

 

Daca ai alte intrebari sau nelamuriri shoot!

 

O zi faina,

Posted
17 minutes ago, LegendKiller said:

Ok, multumesc frumos.

Problema mare este ca acel trafic era nelegitim (peste 200 query-uri, ip-uri spoofate) si ma gandaeam ca poate scap cu o regula in firewall.

 

Sunt curios cum ai dedus ca IP-urile respective erau spoofed? Cel mai probabil traficul a fost produs de boti/scripturi. Nu exista niciun avantaj in a falsifica adrese de IP pe Internet, pentru ca atunci raspunsul serverului va fi trimis la adresa sursa (cea spoofed) si nu inapoi la atacator (presupunand ca cele spoofed vin dintr-o singura sursa)

 

In orice caz, cum ti-a explicat si @sweed29, traficul va veni intotdeauna de pe porturi random mai mari de 1023. Asta este valabil pentru orice serviciu: client:<random port> --> server:<port serviciu> (unde <port serviciu> este portul pe care asculta serviciul respectiv gen 53 UDP pentru DNS, 21 TCP pentru FTP, samd)

Posted

In cel mai bun caz poti sa incerci sa folosesti un firewall de linux bazat pe iptables. Iti recomand CSF (Config Server Firewall). Are destul reguli de a respinge pachetele invalide si asa mai departe. Te poate ajuta sa mai blochezi din traficul respectiv.

 

E gratuit si este cat se poate de bun si destul de usor configurabil. Are si o interfata web unde poti seta/configura diferite lucruri, poti restarta firewall-ul, poti bloca anumite ip-uri sau clase de ip-uri si asa mai departe. Se bazeaza in special pe scripturi perl si iptables (aditional poti folosi si ipset) in cazul in care ai multe ip-uri pe care le doresti a fi blocate.

 

Posted
On 16/05/2016 at 2:55 PM, theeternalwanderer said:

Nu exista niciun avantaj in a falsifica adrese de IP pe Internet, pentru ca atunci raspunsul serverului va fi trimis la adresa sursa (cea spoofed) si nu inapoi la atacator (presupunand ca cele spoofed vin dintr-o singura sursa)

 

Sunt cu cafeaua in fata, mai usor ca nu vreau sa o vars :))

 

De ce as trimite catre tine 50.000 sesiuni noi tcp pe secunda de la 1-10 surse, caz in care ar fi usor de filtrat, cand pot sa trimit din tot spatiul ipv4 ? Ca atacator nu ma intereseaza ce raspunde serverul tau, ma intereseaza sa-i dau de lucru muuuuult, pana-i sar mucii procesorului sau ramai fara latime de banda disponibila :)))))

 

@LegendKiller

src port este random, de la 1024 pana la 65535. Fai o captura cu tcpdump si arata-ne niste logs

  • Upvote 2

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...