DNS Amplification in einem Rechenzentrum

Dankenswerterweise hat mir ein RZ-Betreiber einiges an Zahlenmaterial aus dem Hostinbereich zukommen lassen, damit man sich besser vorstellen kann, wie groß das Problem wirklich ist.

Zuerst wurden 157322 IP Adressen von Kundensystemen auf offene DNS Resolver überpüft. Auf 10917 IPs lief ein ungeschützter, öffentlich zugänglicher DNS Resolver, der für beliebige Dritte rekursive Anfragen beantwortet. Ca. 7% der gehosteten Kundensysteme sind also falsch konfiguriert.

Auf diese Systeme wurde dann eine Versionserkennung mittels Nessus/nmap durchgeführt die u.a. folgende Systeme offenbarte:

System Anzahl
SuSE-10.1 mit Plesk 8.1 173
SuSE-9.3 mit Plesk 8.0 204
CentOS 5.X with Plesk 8.3 235
SuSE-10.2 mit Plesk 8.2 238

Aber Kleinvieh macht auch Mist. Und so schaut dann die Trafficstatistik für Port 53 aus:

Standort Mbps "offenen Relays" Mbps "gesamt" Anteil
RZ1 63,30 230,00 28%
RZ2 13,50 15,80 85%
RZ3 26,90 75,50 36%

Im RZ2 stehen die meisten "alten" Systeme, also die die schon lange von den Kunden gemietet sind. Dort finden sich die meisten ungepatchten und angreifbaren Systeme.

Wer hat noch mehr Daten?

Avatar
rechenzentrum frankfurt 09.03.2015 11:23
Die Frage ist aber eher, was man dagegen tun kann. Es ist ja gut solche Statistik Informationen zu haben, nur muss man diese natürlich auch entsprechend verwerten.
Avatar
danrl 09.11.2012 16:28
85% of their DNS traffic at RZ2 is from open relays? Have they considered informing their customers about that? Looking at the nessus scans it looks like there are a lot of hosted systems *someone* has to take care of. Who installed and never updated all those systems?

2 Kommentare

Post a comment

Verwandter Inhalt