Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 6633 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS attacks

loneleever
Hey BarryG,

thanks for your answer.

Spread of the whole day, I have several DNS "attacks" on two of my public ip addresses. currently we provide two public dns server behind the dmz, which are only responsable for a few domains. For that, there is a DNAT rule:

ANY - DNS (53) - public ip (address)
Auto firewall: no
Initial Log: no

Additionally, I have defined a new packet filter for that:
Internet IPv4 - DNS (53) - internal host

However, normally all incoming requests on port 53 through the correct public ip address, should be processed and match with the rule right?

Why then I see this entries in the log files as a default drop? I'm a little bit confused... [:)]

Default DROP  UDP     111.111.111.118  :  58108
→  123.123.123.5  :  53

Over the day the firewall drops 200.000 between 800.000 requests on port 53, requested to the public dns servers.

I´m wondering, why the IPS does not intervene and detect the requests. Some days the system detects 2-3 "DNS amplification attempts". The requests coming from various IP addresses. There is no visible pattern, they are really random. Otherwise i would give the contry blocking-feature a try. The requests take sometimes up to 1-2 hours.... :-(

Any idea?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    You can configure UDP Flood Protection in every version of UTM, Steve, but that probably won't help this.  You could experiment with lowering the 'Destination packet rate', but you might have to make it so low that you blocked traffic you want.  If you do experiment with that, please report your results here!

    Cheers - Bob
Reply
  • 0
    You can configure UDP Flood Protection in every version of UTM, Steve, but that probably won't help this.  You could experiment with lowering the 'Destination packet rate', but you might have to make it so low that you blocked traffic you want.  If you do experiment with that, please report your results here!

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hi Bob,

    I did set the UDP flood to 200 and now I see only the UDP traffic being blocked in the logs.

    Along with the IP in the post above and another that was hammering me. I was able to determine what countries the address' were coming from and ended up blocking the Russian Fed. and Turkey.

    Logging only minimal hits now.

    Is there any adverse affects in blocking? Other than blocking the U.S.

    Thanks

    I was confused about you comment.

    You might want to create a firewall rule that rejects packets from the IP's that are attacking you


    Isn't that what the firewall is already doing?