DNS Amplification in einem Rechenzentrum
Dankenswerterweise hat mir ein RZ-Betreiber einiges an Zahlenmaterial aus dem Hostinbereich zukommen lassen, damit man sich besser vorstellen kann, wie groß das Problem wirklich ist.
Zuerst wurden 157322 IP Adressen von Kundensystemen auf offene DNS Resolver überpüft. Auf 10917 IPs lief ein ungeschützter, öffentlich zugänglicher DNS Resolver, der für beliebige Dritte rekursive Anfragen beantwortet. Ca. 7% der gehosteten Kundensysteme sind also falsch konfiguriert.
Auf diese Systeme wurde dann eine Versionserkennung mittels Nessus/nmap durchgeführt die u.a. folgende Systeme offenbarte:
| System | Anzahl |
|---|---|
| SuSE-10.1 mit Plesk 8.1 | 173 |
| SuSE-9.3 mit Plesk 8.0 | 204 |
| CentOS 5.X with Plesk 8.3 | 235 |
| SuSE-10.2 mit Plesk 8.2 | 238 |
Aber Kleinvieh macht auch Mist. Und so schaut dann die Trafficstatistik für Port 53 aus:
| Standort | Mbps "offenen Relays" | Mbps "gesamt" | Anteil |
|---|---|---|---|
| RZ1 | 63,30 | 230,00 | 28% |
| RZ2 | 13,50 | 15,80 | 85% |
| RZ3 | 26,90 | 75,50 | 36% |
Im RZ2 stehen die meisten "alten" Systeme, also die die schon lange von den Kunden gemietet sind. Dort finden sich die meisten ungepatchten und angreifbaren Systeme.
Wer hat noch mehr Daten?
2 Kommentare