Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 6631 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS attacks

loneleever
Hey BarryG,

thanks for your answer.

Spread of the whole day, I have several DNS "attacks" on two of my public ip addresses. currently we provide two public dns server behind the dmz, which are only responsable for a few domains. For that, there is a DNAT rule:

ANY - DNS (53) - public ip (address)
Auto firewall: no
Initial Log: no

Additionally, I have defined a new packet filter for that:
Internet IPv4 - DNS (53) - internal host

However, normally all incoming requests on port 53 through the correct public ip address, should be processed and match with the rule right?

Why then I see this entries in the log files as a default drop? I'm a little bit confused... [:)]

Default DROP  UDP     111.111.111.118  :  58108
→  123.123.123.5  :  53

Over the day the firewall drops 200.000 between 800.000 requests on port 53, requested to the public dns servers.

I´m wondering, why the IPS does not intervene and detect the requests. Some days the system detects 2-3 "DNS amplification attempts". The requests coming from various IP addresses. There is no visible pattern, they are really random. Otherwise i would give the contry blocking-feature a try. The requests take sometimes up to 1-2 hours.... :-(

Any idea?

Thanks!


This thread was automatically locked due to age.
  • 0
    Hi, please post the related lines from the FULL firewall log (not the live log).

    Barry
  • 0 in reply to BarryG
    05:24:12 Default DROP  UDP 107.14.126.64:21086 → 123.123.123.5:53 len=67 ttl=243 tos=0x00 srcmac=1a:1b:1c:1d:1e:1 dstmac=2a:2b:2c:2d:2e:0
    05:24:12 Default DROP  UDP 23.224.216.17:12689 → 123.123.123.5:53 len=63 ttl=241 tos=0x00 srcmac=1a:1b:1c:1d:1e:1 dstmac=2a:2b:2c:2d:2e:0
    05:24:13 Default DROP  UDP 86.154.67.221:61201 → 123.123.123.5:53 len=65 ttl=240 tos=0x00 srcmac=1a:1b:1c:1d:1e:1 dstmac=2a:2b:2c:2d:2e:0
  • 0
    Hi loneelever,

    The Firewall Live Log is for watching traffic as it arrives; it presents an abbreviated log line that's easier for the mind to grasp quickly.  When it comes to analyzing problems, the Live Log is virtually useless.  You need to go to 'Logging & Reporting >> View Log Files' to get the corresponding lines from the full Firewall log file.

    Cheers - Bob
    PS A rule here is "one topic per thread," so I've moved this question to a new thread.
  • 0 in reply to BAlfson
    I myself am seeing 10's of thousands over the last day or so from.

    /var/log/packetfilter/2014/04/packetfilter-2014-04-08.log.gz:2014:04:08-10:50:02 utm ulogd[19468]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" mark="0x7c" app="124" srcmac="0:13:f7:9c:3d:38" dstmac="5c:26:a:1e:c3:3e" srcip="186.2.161.103" dstip="***.***.***.161" proto="17" length="70" tos="0x00" prec="0x20" ttl="240" srcport="80" dstport="53" 

    /var/log/packetfilter/2014/04/packetfilter-2014-04-08.log.gz:2014:04:08-10:50:02 utm ulogd[19468]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" mark="0x7c" app="124" srcmac="0:13:f7:9c:3d:38" dstmac="5c:26:a:1e:c3:3e" srcip="186.2.161.103" dstip="***.***.***.161" proto="17" length="70" tos="0x00" prec="0x20" ttl="240" srcport="80" dstport="53" 

    /var/log/packetfilter/2014/04/packetfilter-2014-04-08.log.gz:2014:04:08-10:50:02 utm ulogd[19468]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" mark="0x7c" app="124" srcmac="0:13:f7:9c:3d:38" dstmac="5c:26:a:1e:c3:3e" srcip="186.2.161.103" dstip="***.***.***.161" proto="17" length="70" tos="0x00" prec="0x20" ttl="240" srcport="80" dstport="53" 


    Do I need to worry since they are being blocked?

    Thanks
  • 0
    No worries. The packets are being blocked.

    You might want to create a firewall rule that rejects packets from the IP's that are attacking you.  You also might want to register a formal abuse complaint with the ISP of that IP. 

     Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0 in reply to BAlfson
    Thanks Bob,

    I could do that.

    However, if you would indulge me. Can I setup UDP Flood Protection in 9.2?

    Steve
  • 0
    You can configure UDP Flood Protection in every version of UTM, Steve, but that probably won't help this.  You could experiment with lowering the 'Destination packet rate', but you might have to make it so low that you blocked traffic you want.  If you do experiment with that, please report your results here!

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    I did set the UDP flood to 200 and now I see only the UDP traffic being blocked in the logs.

    Along with the IP in the post above and another that was hammering me. I was able to determine what countries the address' were coming from and ended up blocking the Russian Fed. and Turkey.

    Logging only minimal hits now.

    Is there any adverse affects in blocking? Other than blocking the U.S.

    Thanks

    I was confused about you comment.

    You might want to create a firewall rule that rejects packets from the IP's that are attacking you


    Isn't that what the firewall is already doing?
  • 0
    Thanks for your report. 

    Like the log says, the packets are default DROPped, not Rejected. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.