it-swarm.com.de

Hat es ein Remote-Rogue-DNS-Client geschafft, die erste iptables-Regel eines Linux-DNS-Servers zu durchlaufen?

Ubuntu 20.04
iptables 1.8.4-1

Ich habe eine Situation erlebt, in der ein Remote-System in der Lage zu sein schien, die first iptables-Regel eines Linux-Servers zu durchlaufen, der sich hinter einem NAT Router:

-A INPUT -s <remote_ip_addresses_range> -j DROP

Trotz der obigen Regel konnte ich mit pktstat -tF -i <wired_ethernet_interface> Den folgenden Schnappschuss sehen:

udp <remote_fqdn>:29937 <-> <server_fqdn>:domain
udp <remote_fqdn>:21862 <-> <server_fqdn>:domain
udp <remote_fqdn>:37097 <-> <server_fqdn>:domain
udp <remote_fqdn>:1886 <-> <server_fqdn>:domain
udp <remote_fqdn>:16824 <-> <server_fqdn>:domain
udp <remote_fqdn>:43989 <-> <server_fqdn>:domain
udp <remote_fqdn>:49939 <-> <server_fqdn>:domain
udp <remote_fqdn>:25297 <-> <server_fqdn>:domain
udp <remote_fqdn>:13319 <-> <server_fqdn>:domain
udp <remote_fqdn>:62586 <-> <server_fqdn>:domain
udp <remote_fqdn>:24825 <-> <server_fqdn>:domain
udp <remote_fqdn>:52733 <-> <server_fqdn>:domain
udp <remote_fqdn>:44866 <-> <server_fqdn>:domain
udp <remote_fqdn>:19691 <-> <server_fqdn>:domain
udp <remote_fqdn>:31634 <-> <server_fqdn>:domain
udp <remote_fqdn>:36689 <-> <server_fqdn>:domain
udp <remote_fqdn>:20213 <-> <server_fqdn>:domain
udp <remote_fqdn>:38816 <-> <server_fqdn>:domain
udp <remote_fqdn>:62049 <-> <server_fqdn>:domain
udp <remote_fqdn>:51384 <-> <server_fqdn>:domain
udp <remote_fqdn>:55557 <-> <server_fqdn>:domain
udp <remote_fqdn>:39710 <-> <server_fqdn>:domain
udp <remote_fqdn>:56031 <-> <server_fqdn>:domain
udp <remote_fqdn>:50839 <-> <server_fqdn>:domain
udp <remote_fqdn>:53202 <-> <server_fqdn>:domain
udp <remote_fqdn>:39416 <-> <server_fqdn>:domain
udp <remote_fqdn>:25693 <-> <server_fqdn>:domain
udp <remote_fqdn>:55591 <-> <server_fqdn>:domain
udp <remote_fqdn>:30182 <-> <server_fqdn>:domain

Ich bin mir sicher, dass <remote_fqdn> Innerhalb von <remote_ip_addresses_range> Liegt.

Ich sehe nur 2 mögliche Erklärungen für diese Situation:

  • pktstat schnüffelt an Paketen, bevor eine iptables-Filterung stattfindet, was ich bezweifle, dass dies möglich ist
  • iptables weist eine Sicherheitslücke auf

Der tcpdump-Trace zeigt, dass alle nicht autorisierten DNS-Abfragen ähnlich sind. Der Angreifer hat versucht, den Server mit rekursiven DNS-Suchen einer fremden DNS-Domäne zu entführen: packet.cf (nicht die von <server_fqdn> bereitgestellte Domäne).

Jemand mit einer Ahnung?

pktstat schnüffelt an Paketen, bevor eine iptables-Filterung stattfindet, was ich bezweifle, dass dies möglich ist

Das ist, was passiert. pktstat, tcpdump usw. rufen die ungefilterten Daten auf der Schnittstelle ab. Siehe auch mgeht tcpdump iptables? .

29
Steffen Ullrich