DNS-rebind hack

[olistudent]

Ich wurde heute im IRC von rubberduck (Robert) darauf hingewiesen, dass sowohl der AVM DNS als auch der Freetz DNS für DNS-rebind Attacken anfällig sind.
Für Details siehe: http://en.wikipedia.org/wiki/DNS_rebinding

Wird dnsmasq verwendet kann das durch den Eintrag "stop-dns-rebind" in der dnsmasq.conf verhindert werden.
Spricht was dagegen, wenn wir diese Einstellung standardmäßig aufnehmen?

Gruß
Oliver

Code:

--- make/dnsmasq/files/root/etc/default.dnsmasq/dnsmasq_conf	(revision 5265)
+++ make/dnsmasq/files/root/etc/default.dnsmasq/dnsmasq_conf	(working copy)
@@ -3,6 +3,7 @@
 cat << EOF
 domain-needed
 log-async=10
+stop-dns-rebind
 EOF
 
 [ "$DNSMASQ_BOGUSPRIV" = "yes" ] && echo "bogus-priv"

[Silent-Tears]

Ich denke nicht, dass es stört, mir sind keine Nebenwirkungen bekannt. Jemand anderem?

[olistudent]

Ich wurde auf einige Nachteile hingewiesen:

Ein nachteil steht auf der verlinkten wikipedia seite:
"This technique may block some legitimate uses of Dynamic DNS."
bei freetz mit dnsmasq konkret:
- wenn man ein vpn hat und den dns des vpn-partners nutzt werden lokale ips geblockt
- umts: viele provider haben interne ips (eplus hat 10.x.x.x.). eine namensauflösung wäre für diese dann nicht möglich
oder bei mir: eine test-fritzbox ist im lan und nutzt den dns der "router"-box, die meine internen namen auflöst. die wären dann auch ungültig

Diese IPs müsste man zusätzlich konfigurieren:

Code:

--rebind-localhost-ok 
Exempt 127.0.0.0/8 from rebinding checks. This address range is returned by realtime black hole servers, so blocking it may disable these services. 
--rebind-domain-ok=[<domain>]|[[/<domain>/[<domain>/] 
Do not detect and block dns-rebind on queries to these domains. The argument may be either a single domain, or multiple domains surrounded by '/', like the --server syntax, eg. --rebind-domain-ok=/domain1/domain2/domain3/

MfG Oliver

[sf3978]

Im syslog meiner Box sind folgende Einträge:

Code:

Jan  1 01:00:30 fritz daemon.info dnsmasq[991]: started, version 2.57 cachesize 150
Jan  1 01:00:30 fritz daemon.info dnsmasq[991]: compile time options: IPv6 GNU-getopt no-DBus no-I18N DHCP TFTP no-IDN
Jan  1 01:00:30 fritz daemon.info dnsmasq[991]: asynchronous logging enabled, queue limit is 10 messages
Jan  1 01:00:30 fritz daemon.info dnsmasq[991]: using nameserver 192.168.180.2#53
Jan  1 01:00:31 fritz daemon.info dnsmasq[991]: using nameserver 192.168.180.1#53
Jan  1 01:00:31 fritz daemon.info dnsmasq[991]: read /etc/hosts - 2 addresses
May 13 21:24:56 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:24:57 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:24:57 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:24:57 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:17 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:24 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:28 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:38 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:41 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:41 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:41 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:45 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:48 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:50 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:52 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org
May 13 21:51:53 fritz daemon.warn dnsmasq[991]: possible DNS-rebind attack detected: www.hn.org

Die dnsmasq.conf sieht so aus:

Code:

root@fritz:/var/mod/root# cat /var/mod/etc/dnsmasq.conf
domain-needed
log-async=10
no-resolv
server=192.168.180.1
server=192.168.180.2
bogus-priv
domain=fritz.box
expand-hosts
stop-dns-rebind

[M66B]

Actually I am using this for quite some time and didn't have any problems, except for too much logging, so I devised a little patch to disable the logging.

dnsmasq-rebind-nolog.patch.txt

[SaschaBr]

Ich habe vorhin mal die Seite HN.ORG (aus dem Log von sf3978) einer Whois-Anfrage unterzogen (http://www.who.is/whois/hn.org/), und dort steht dann unter HN.ORG SITE INFORMATION folgendes:

Code:

IP: 127.0.0.1
Website Status: active
Server Type: Apache

Man beachte die IP! Also war das Blocken durch dnsmasq wohl korrekt, und dies sollte dann m.M.n. auch im Syslog stehen.

[M66B]

I believe this is already the default.

From /etc/default.dnsmasq/dnsmasq.cfg (trunk):

Code:

export DNSMASQ_STOP_DNS_REBIND='yes'

From /etc/default.dnsmasq/dnsmasq_conf:

Code:

[ "$DNSMASQ_STOP_DNS_REBIND" = "yes" ] && echo "stop-dns-rebind"

[olistudent]

I think we should not disable the logging. It helps to find failures and faulty sites.

Regards
Oliver

[M66B]

Try running bittorrent with this option enabled and you will see why you don't want logging ...

[Draytek]

Hallo,

habe heute im Syslog meiner 7270v3 (74.04.88freetz-devel-6292M) folgenden Warnhinweis stehen, quasi im Sekundentakt:

Code:

fritz daemon.warn dnsmasq[916]: possible DNS-rebind attack detected: ipid.shat.net

Der Eintrag in der dnsmasq.conf

Code:

stop-dns-rebind

ist vorhanden.

Leider habe ich noch nicht so ganz verstanden, was hier geschieht...

Versucht dort wirklich jemand einzudringen bzw. ist eingedrungen, oder reagiert dnsmasq hier einfach nur zu sensibel? Habe mir den o.a. wikipedia-Eintrag dazu durchgelesen.

Vielen Dank und viele Grüße

Draytek