- Neue Geschäftsbedingungen bei WhatsApp - Panik?
- TCAM full - Überraschender Totalausfall
- IPv5 - das fehlende Verbindungsstück zwischen IPv4 und IPv6
- Alle Räder stehen still, wenn Dein starker Arm das will
- Ultra thin whois - Was ist das?
- Demo für freies Internet am 23.3.2019
- Flexible Netflow mit Voraggregation im Router
DNS Amplification in einem Rechenzentrum
Dankenswerterweise hat mir ein RZ-Betreiber einiges an Zahlenmaterial aus dem Hostinbereich zukommen lassen, damit man sich besser vorstellen kann, wie groß das Problem wirklich ist.
Zuerst wurden 157322 IP Adressen von Kundensystemen auf offene DNS Resolver überpüft. Auf 10917 IPs lief ein ungeschützter, öffentlich zugänglicher DNS Resolver, der für beliebige Dritte rekursive Anfragen beantwortet. Ca. 7% der gehosteten Kundensysteme sind also falsch konfiguriert.
Auf diese Systeme wurde dann eine Versionserkennung mittels Nessus/nmap durchgeführt die u.a. folgende Systeme offenbarte:
| System | Anzahl |
|---|---|
| SuSE-10.1 mit Plesk 8.1 | 173 |
| SuSE-9.3 mit Plesk 8.0 | 204 |
| CentOS 5.X with Plesk 8.3 | 235 |
| SuSE-10.2 mit Plesk 8.2 | 238 |
Aber Kleinvieh macht auch Mist. Und so schaut dann die Trafficstatistik für Port 53 aus:
| Standort | Mbps "offenen Relays" | Mbps "gesamt" | Anteil |
|---|---|---|---|
| RZ1 | 63,30 | 230,00 | 28% |
| RZ2 | 13,50 | 15,80 | 85% |
| RZ3 | 26,90 | 75,50 | 36% |
Im RZ2 stehen die meisten "alten" Systeme, also die die schon lange von den Kunden gemietet sind. Dort finden sich die meisten ungepatchten und angreifbaren Systeme.
Wer hat noch mehr Daten?
2 Kommentare