مشکلudp Dns attacks در هتزنر

[mizban97]

سلام خدمت دوستان روز بخیر.

امروز برای یکی از سرور های هتزنر ابیوز زیر اومد و آیپی روتر مسدود کردند.
فکر کنم مربوط میشه dns ddos چطور میشه تو میکروتیک جلوش گرفت؟
آیا باید پورت 53 کاملا بسته بشه یا راه دیگری دارد؟
ممنون میشم راهنمایی کنید.
با تشکر

We have received information regarding spam and/or abuse from reports@reports.cert-bund.de.
Please would you take all necessary measures to avoid this in the future.

We also request that you send a short response within 24 hours to us and to the person who filed the complaint. This response should contain information about how this could have happened and what you intend to do about it.

Information:
Dear Sir or Madam,

CERT-Bund received complaints concerning systems hosted on your
network which *actively* participated in DDoS attacks against
third parties.

The DDoS reflection attacks were performed by abusing UDP-based
services openly accessible from the Internet (DNS open-resolvers,
NTP servers with the 'monlist' feature enabled, openly accessible
SNMP servers, etc.).

Please find below a list of systems on your network which actively
participated in the DDoS attacks. The timestamp (timezone UTC)
indicates when the first attack packet was sent by the respective
system. Additionally, each records includes the source port and
type of service abused.

Many of the services abused for the attacks have already been
reported to you by CERT-Bund on a regular basis for a longer time
and we kept asking you to close the services to prevent them
from being abused for DDoS attacks.

We would now like to ask you to check this issue and *immediately*
take appropriate action to prevent further abuse of the services
for DDoS attacks against third parties.

Additional information on this notification and advice on how to
secure the open services (HOWTOs) available at:
<https://reports.cert-bund.de/en/>

This message is digitally signed using PGP. Information on the
signature key is available at the aforementioned URL.

Please note:
This is an automatically generated message.
Replying to the sender address is not possible.
In case of questions, please contact
keeping the ticket number of this message in the subject line.

!! Please make sure to read our HOWTOs and FAQ available at
!! <https://reports.cert-bund.de/en/> first.

Kind regards
Team CERT-Bund

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat CK22 - CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany

================================================== ====================

Affected systems on your network:

Format: ASN | IP address | Timestamp (UTC) | Source port | Service


24940 | IP | 2017-03-03 03:03:01 | 53 | dns
24940 | IP | 2017-03-03 02:46:03 | 53 | dns
24940 | IP | 2017-03-03 02:46:03 | 53 | dns
24940 | IP | 2017-03-03 02:30:01 | 53 | dns

[mizban97]

up
کسی این مورد بلد نیست؟

[BuyHardware]

سلام

ایپی هایی که هتزنر برای شما ارسال کرده مشکل Recursive DNS دارند.
در واقع مشکل نیست، ولی میتواند باعث مشکل بشه. شما با توجه به سیستم عامل و سرویس دی ان اس ایپی های ذکر شده باید ریکرسیو ببنید.
در صورت تمایل یکی از ایپی هارو اینجا قرار بدید تا توضیحات بیشتری رو در اختیارتون بزارم
بستن دی ان اس ریکرسیو در ویندوز : https://technet.microsoft.com/en-us/...(v=ws.11).aspx
بستن دی ان اس ریکرسیو در لینوکس : http://askubuntu.com/questions/17072...-dns-recursion

[mizban97]

سلام

ایپی هایی که هتزنر برای شما ارسال کرده مشکل Recursive DNS دارند.
در واقع مشکل نیست، ولی میتواند باعث مشکل بشه. شما با توجه به سیستم عامل و سرویس دی ان اس ایپی های ذکر شده باید ریکرسیو ببنید.
در صورت تمایل یکی از ایپی هارو اینجا قرار بدید تا توضیحات بیشتری رو در اختیارتون بزارم
بستن دی ان اس ریکرسیو در ویندوز : https://technet.microsoft.com/en-us/...(v=ws.11).aspx
بستن دی ان اس ریکرسیو در لینوکس : http://askubuntu.com/questions/17072...-dns-recursion

ممنون از پاسختون.
آیپی ها مربوط به روتر میکروتیک
و گیت وای هست.
اگر بتونید راهنمایی کنید چطور تو میکروتیک جلوش بگیرم.
سرور برای مجازی سازی هست.

[BuyHardware]

ممنون از پاسختون.
آیپی ها مربوط به روتر میکروتیک
و گیت وای هست.
اگر بتونید راهنمایی کنید چطور تو میکروتیک جلوش بگیرم.
سرور برای مجازی سازی هست.

برای تشکر میتونید از دکمه تشکر استفاده کنید
لطفا یکیشون رو اینجا اعلام کنید من چک کنم ببینم اصلا باز هست برای ریکرسیو
اگر باز بود باید در تنظیمات دی ان اس غیر فعال کنید look up رو برای عموم
متاسفانه تخصصی در میکروتیک ندارم

[mizban97]

برای تشکر میتونید از دکمه تشکر استفاده کنید
لطفا یکیشون رو اینجا اعلام کنید من چک کنم ببینم اصلا باز هست برای ریکرسیو
اگر باز بود باید در تنظیمات دی ان اس غیر فعال کنید look up رو برای عموم
متاسفانه تخصصی در میکروتیک ندارم

خدمت شما:
آیپی میکروتیک :

البته الان از سمت دیتاسنتر مسدود هست فقط درون شبکه میشه چک کرد.

[BuyHardware]

متاسفانه من از ایپی ایران چک میکنم و قابل دسترسی نیست
ولی شما در فایروال دئ تا رول اعمال کنید
تمامی درخواست ها روی پورت 53 از نوع udp رو ببنید البته مقصد ایپی رو سرور میکروتیک مد نظر بگیرید

[mizban97]

متاسفانه من از ایپی ایران چک میکنم و قابل دسترسی نیست
ولی شما در فایروال دئ تا رول اعمال کنید
تمامی درخواست ها روی پورت 53 از نوع udp رو ببنید البته مقصد ایپی رو سرور میکروتیک مد نظر بگیرید

به این صورت منظورتون هست؟
اون یکی رول رو چی باید بزنم؟
اگر میشه بیشتر توضیح بدید.

[BuyHardware]

شما مشکلتون حل شد ؟
یا توضیحات بدم ؟
چن ایپی الان در دسترس هست و دی ان اس ریکرسیو بسته شده

[mizban97]

شما مشکلتون حل شد ؟
یا توضیحات بدم ؟
چن ایپی الان در دسترس هست و دی ان اس ریکرسیو بسته شده

خیر توضیح بدید
میخوام کلا تو روتر ببندمش از udp .
اگر محبت کنید به چه صورت ببندم.