Die freundlichen Damen und Herren vom CERT-Bund / BSI…

10

…haben via abuse@ Adresse freundlich darauf hingewiesen, dass ich einen offenen DNS-Resolver betreibe.  Wow! Das BSI scannt also, natürlich als Dienst an der Menschheit, „deutsche“ IP-Adressen auf Port 53. Oder haben sie mal wieder $irgendwoher eine Liste bekommen – wie damals die mit den Mailpasswörtern?

Jedenfalls ging diese Mail an meinen Hoster, der hat sie logischerweise an mich weiter geleitet.

Im lokalen Hackspace-Chat kamen ein paar nette Gedanken zur Mail: „Lese ich die Mail richtig, wenn die für mich so klingt, als wäre jeder DNS-Betreiber denen gegenüber rechenschaftspflichtig? Ist DNS damit staatlich beaufsichtigte Infrastruktur?“

„würde mich mal interessieren, ob es dafür ein Gesetz gibt oder ob das ein „freundlicher Hinweis“ ist in der Hoffnung, daß die Leute vor dem Absender ehrfürchtig auf die Knie gehen“

„falls ersteres: auch so eine WM-Errungenschaft?“

Sehr geehrte Damen und Herren,

CERT-Bund hat eine Liste in Deutschland gehosteter offener DNS-Resolver
erhalten. Diese können zur Durchführung von DDoS-Angriffen mittels
DNS-Amplification-Attacks missbraucht werden.

Nachfolgend senden wir Ihnen eine Liste betroffener DNS-Resolver in
Ihrem Netzbereich.

Format: ASN | IP | Timestamp (UTC) | Min. Amplification | DNS version

Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende
Maßnahmen zur Absicherung der DNS-Resolver zu treffen.

Bitte bestätigen Sie den Eingang dieser Benachrichtigung und informieren
Sie uns über die von Ihnen getroffenen Maßnahmen.

Liste der offenen Resolver in Ihrem Netzbereich:
24940 |   144.76.72.180 | 2014-07-01 04:05:15 | 1.3810 |

Mit freundlichen Grüßen
Team CERT-Bund

Ich habe beschlossen meinem Hoster einfach freundlich zu Antworten, dass das so gewollt ist und den Munin-Graph zum DNS der letzten 7 Tage mitzuschicken – im Peak 120 Anfragen/Sekunde – finde ich jetzt nicht Abuse-würdig.

10 Kommentare


  1. Habe auch so eine Mail bekommen. Denke mal das die warum auch massenhaft verteilt wurden. Desweiteren finde ich es komisch gleich eine abuse Meldung zu bekommen. Als würde man irgendwas böses getan haben.


    1. Ja, es kam von einem Bekannten auch der Vorschlag an die BSI-Abuse-Mail eine Abuse-Mail zu senden dass da jemand bei denen die Abuse-Mail-Adressen der Hoster missbraucht. :)


      1. Das wäre sicherlich amüsant. Anstelle des CERT hätte ich auch eher an hostmaster@ geschrieben. Aber da wir wissen, wie genau es alle mit RFC 2142 und EFC 1912 nehmen, hättest Du diese E-Mail sicherlich nicht bekommen ;-)

        Ansonsten finde ich das aktive Scanning von CERT Bund genau richtig. Du bist in diesem Fall eher ein False Positive. Aber ich möchte nicht wissen, wie viele Webmin-Kutschen offen wie ’ne Hose sind und so vielleicht durch regelmäßige Mitteilungen des CERT Bund ein Gefühl dafür vermittelt wird, dass man einen „Root Server“ nicht bedenkenlos zum Spaß bei Hetzner & Co. betreibt.


  2. Tja, die systematische Überwachung ist schon im vollen Gange. Und das ein FREIER DNS die Zensurbestebungen stört ist auch klar.
    Danke für dein Standhalten!


    1. Ich fand den Ansatz den ich oben zitiert habe nicht ganz unwahrscheinlich, unserer regierenden Minderheit würde ich den Versuch zutrauen, die DNS-Infrastruktur zu verstaatlichen. Da kann man dann auch besser zensieren. Wenn der Traffic in Island bzw. aus Island in den Rest der Welt nicht so verdammt teuer wäre würde ich sofort einen zweiten offenen DNS-Resolver mit Standort Island aufmachen.


  3. Kommt mal etwas runter Leute,

    mit offenen DNS resolvern unterstützt ihr aktiv DNS Amplification Angriffe [1]. Eure Server sind also indirekt Teil von botnetzen die andere Server lahmlegen (vielen Dank auch). Das Thema wurde von Cloudflare etwas übersichtlicher ausgearbeitet [2]. Cloudflare und andere scannen das Netz nach solchen Servern. Sie senden regelmässig entsprechende Listen an die nationalen CERTs.

    Das CERT-Bund wurde exakt für diesen Zweck eingerichtet, um eine nationale deutsche Anlaufstelle für derartige Probleme zu liefern und systematisch gegen bspw. diese Pest von fehlkonfigurierten DNS Servern vorzugehen.

    Mit Überwachungsstaat hat das alles nichts zu tun. An der Stelle hat der Bund mal eine nützliche Einrichtung geschaffen, die leider noch relativ zahnlos ist (in dem Sinne, dass sie nur Empfehlungen weiterreichen).

    Sowas wird in Zukunft auch noch mehr werden. Ich wurde schon mal telefonisch vom US-CERT kontaktiert, weil ich ein infiziertes WordPress hatte, was dann phishing-Seiten bereitgestellt hat. Die haben mit mir zusammen das WordPress analysiert und am Ende mit den WordPress-Entwicklern die Lücke behoben.

    [1] https://www.us-cert.gov/ncas/alerts/TA13-088A
    [2] http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack


    1. Deine Aussage bedeutet, jeder DNS-Resolver ist automatisch am Untergang des Abendlandes schuld. Ich schrieb ja schon, im Peak habe ich auf dem Resolver 120 Anfragen pro Sekunde gehabt, für kurze Zeit, < 10 Sekunden. Auch Lutz Donnerhacke schrieb schon zur Thematik, wenn auch im DNSSEC-Kontext. Und der von dir verlinkte Cloudflare Blogartikel ist bekannt, dreht sich aber um EINEN "angreifenden" DNS-Server der mit mindestens 20Gbps auf das Cloudflate Netz feuert - das ist schon ein stark anders gelagertes Problem. Das was das CERT-Bund da macht ist vorauseilender Gehorsam. Die teilen mir mit dass ich da was mache wovon ich weiss dass ich es mache, und ich mache das sogar bewusst. Es ist ein nach bestem Wissen und Gewissen konfigurierter Unbound, die Konfiguration wird so oft und von vielen - bewusst offenen - DNS-Caches eingesetzt. Ich hab das Ding im Auge, in den letzten 24 Stunden lag der Peak bei 18 Anfragen pro Sekunde. Also das was du da aufzeichnest "mit offenen DNS resolvern unterstützt ihr aktiv DNS Amplification Angriffe" möchte ich so definitiv als nicht der korrekt bezeichnen. Das KANN passieren, muss aber nicht. Ich bin mit 100MBit angebunden, das Grundrauschen verursacht durch den DNS geht im restlichen Traffic den der Server so mit http/htts/smtp/imap zu tun hat unter. Also definitiv keine Gefahr für das westliche Abendland durch mich. :D


  4. Hi.

    Ich sehe DNS Resolver nicht als etwas Schlechtes und die Abuse-Mails auch eher als freundlichen Hinweiss, sofern nicht eine sofortige Unterlassung verlangt wird.

    Ob man gleich per Abuse-Mail den Betreiber aufschrecken muss, kann man ruhig unterschiedlicher Meinung sein. Wäre dein Server auch dein Mailserver und tatsächlich gehackt, bestünde auch die Möglichkeit, dass der Hacker die Mail löscht oder selber beantwortet. Mit dem Gedankengang finde ich es durchaus nachvollziehbar als abuse zu melden…

    Ich sehe zwei mögliche Gründe warum aber die Info vom CERT verbreitet wurde:
    * Zum einen, der schon genannte, mögliche Missbrauch für Angriffe auf andere Systeme, was aber Versions- und Konfigurationsabhängig ist (ich empfehle es zu prüfen).
    * Zum anderen hätte es auch sein können, dass du nichts von einem DNS wusstest, weil vielleicht dein Server gehackt wurde.

    Hacker nutzen mit vorliebe fremde Server um Dienste für ihre eigentlichen Ziele/Opfer zu betreiben. Ein solcher DNS Resolver wird Beispielsweise gern für Online Banking eingesetzt um die Opfer auf eine gefälschte Version umzuleiten.

    Würde mich nicht überraschen, wenn CERT auch nach offenen Proxies scannt… :) Ist auch nichts Böses, aber kann für Böses missbraucht werden…

    Gruß Hizuro


    1. Ja, meine Vermutung geht auch in die Richtung nett gemeinter Hinweis für den Fall dass der DNS-Server nicht sein soll.


  5. Die schicken mir das fleissig weiter, auch wenn es schon seit längerem zu ist.
    Außerdem scannen die nicht selbst sondern bekommen irgentwo her Listen, meinte zumindest jemand bei heise.

Comments are closed.