bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa sc

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa schlissen...
From: Philipp Flesch <philipp@xxxxxxxxxxx>
Date: Wed, 24 Jul 2013 20:51:30 +0200
Hallo Helmut,
Mirekt hat ZWEI Themen gemixt ...

>>SPAM/Port 25<<
Früher (und das meinte Mirek wohl mit SPAM) hat die Telekom nur alarmiert, wenn viele E-Mails verschickt wurden. Dies geschah dann i.d.R. direkt - also von einem Programm, dass direkt auf einem Zielsystem Port 25 öffnet und die Mail dann durchschiebt ... manche waren aber auch so schlau, den Ausgangsserver von T-Online zu nehmen.
Ursache war meist ein lokaler SPAM-Bot unter Windows ...
Die Telekom hat Systeme, die solche Aktivitäten entdecken. Dies ist möglich auf Basis der Verbindungsanalyse - ohne in die eigentlichen Inhalte der Datenpakete zu schauen und somit i.d.R. legal. Manchmal beschweren sich aber auch Admins der Zielserver über die Abuse-Abteilung ...

>>DNS-Resolver<<
Die Problematik steht gleich auf Seite 1 der von mir verlinkten PDF-Datei:
-- cut here --
**DNS-Reflection Angriff**
Die Kommunikation zwischen DNS-Servern erfolgt standardmäßig über das UDP-Protokoll. Bei UDP handelt es sich im Gegensatz zu TCP um ein verbindungsloses Protokoll. Da innerhalb des DNS-Protokolls auch sonst keine Prüfmechanismen existieren, besteht für den Empfänger des DNS-Pakets keine Möglichkeit, die Authentizität der Quelle zu überprüfen. DNS-Server beantworten Anfragen daher „blind“ an den Server, dessen IP-Adresse im Anfrage-Paket enthalten ist. Sofern es einem Angreifer gelingt, in einer DNS-Anfrage als Quelladresse die IP-Adresse eines Opfers zu platzieren („IP-Spoofing“) wird der beantwortende Server die Antwort statt an den Angreifer an das Opfer senden (reflektieren). Die Identität des Angreifers wird so zum einen verschleiert und zum anderen häufig gleichzeitig die Wucht des Angriffs durch die im folgenden beschriebene DNS-Eigenschaft erhöht.

**DNS-Amplification**
UDP-Pakete mit DNS-Abfragen sind typischerweise relativ klein (< 100 Byte). Antwort-Pakete sind abhängig vom abgefragten Eintrag deutlich größer (< 500 Byte). Unterstützt der befragte DNS-Server DNSSEC, können die Antwortpakete noch größer werden (> 1000 Byte). Dies hat zu Folge, dass ein Angreifer bei geschickter Wahl der DNS-Anfrage mit vergleichsweise kleiner Bandbreite eine deutliche Erhöhung der Angriffslast auf der Opferseite erzielen kann, der Angriff wird somit verstärkt (Amplification).
-- cut here --

Du schickst ein kleines DNS-Paket mit gefälschter Absender IP an einen Arktur mit nach Aussen offendem DNS-Server und dieser antwortet mit einem großen Antwort-Paket, dass er an die gefälschte Absender-IP zurückschickt.

Diesen offenen Resolver kann man im Bind recht einfach deaktivieren oder einfach per Firewall-Regel am "externen Interface" unterbinden.

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 24.07.2013