(EN) Sipura VoIP phone adapters and DoS against name servers

[koehler]

von der nanog (http://www.nanog.org/) mailliste:

Unbestaetigt seitens SipUra (kann also auch unwahr sein)


----- Forwarded message from [email protected] -----

From: [email protected]
To: [email protected]
Date: Mon, 05 Jul 2004 18:57:03 +0200
Subject: Sipura VoIP phone adapters and DoS against name servers


Last night we configured our equipment to reject recursive DNS lookups
from non-customers. This morning, soon after normal office hours began,
we started receiving around 2500 DNS lookups per second more than normal
to our recursive name servers.

After analyzing the DNS lookups, we found that all of the extra traffic
was generated from customers of a local VoIP provider which uses Sipura
(SPA-2000) phone adapters. It seems that when these adapters don't
receive answers to their DNS queries, they will retransmit the query
once per second (until they receive an answer). Multiply by number of
adapters, and you have the recipe for a nice DoS.

Shades of Netgear NTP DoS (http://www.cs.wisc.edu/~plonka/netgear-sntp/)
- don't vendors ever learn?

Steinar Haug, Nethelp consulting, [email protected]

 

[haeberlein]

Bitte auf deutsch kann leider kein englisch

 

[Stephan]

Hallo,

@Haeberlein

nutze doch mal folgende Werkzeuge...

Babylon-Translator: http://www.babylon.com

Oder Online:

http://world.altavista.com

http://www.google.de/language_tools?hl=de

oder VHS. Nur mal so als kleiner Tip - fuer schnelle
Uebersetzungen voellig ausreichend.

 

[haeberlein]

VHS ist ein guter Tip bei 3 Schichtsystem als Lokführer. Aber mann koennte es doch gleich in Deutsch schreiben ,denn schließlich sind wir Deutsche und sprechen im Normalfall die Deutsche Muttersprache ,oder gehören wir schon zu Amerika ,England oder wo sonst noch englisch gesprochen wird.
Schon mal ne Goggle Übersetzung gelensen? Da versteht man fast kein Wort.

 

[koehler]

Der Norgewe, der das geschrieben hat, war jedenfalls so freundlich das in englischer Sprache zu verfassen. Die Uebersetzung handelt von einer Menge SipUras die auf einmal angefangen haben einen DNS Server mit einer Unmenge von DNS Requests zu bombadieren (sicher uebertrieben) weil DNS Anfragen die von diesen SipUras abgingen nicht mehr beantwortet wurden. So die Vermutung des Autors. Ergaenzend gab er einen Hinweis auf ein Netgear Produkt und zog eine Parallele.

Btw. Das muss nicht die Wahrheit sein


Gruss,

Michael

 

[Stephan]

Hallo,

@haeberlein
das mit dem Schichtdienst ist natuerlich uebel. Leider sind in der
Computerwelt die meisten Anleitungen und Virus-Warnungen in
englisch - Bevor soetwas dann in der deutschen Welt bekannt wird,
ist es dann meistens schon zu spaet. Mit diesen Moeglichkeiten (die
ich oben aufgezaehlt habe) kann man sich gut selbst helfen. Arbeite
auch viel damit, ein wenig Wissen bzgl. englischer Grammatik ist
aber wirklich Vorteilhaft, da muss ich Dir Recht geben... den Rest
per PN weil OT.

@Michael
dann haben wir ja glueck gehabt das wir es nicht aus dem 'Norwegischen'
uebersetzen mussten :lol: . Aber zurueck zum Thema...

Kann ich mir eigentlich nicht vorstellen, ich meine wenn man die Geraete
Verkonfiguriert - ist bestimmt alles moeglich. Dingen von denen man keine
Ahnung hat - sollte man halt die Finger lassen, oder vorher mal das Handbuch
lesen ... den Rev.-Lookup kann man auch abschalten, ist glauche ich
auch Standard. Wenn ich mich recht erinnere, wird so eine Anfrage aber
auch hoechsten nur einmal pro Verbindungsherstellung erfolgen/gestellt.
Wenn man die TTL natuerlich auf eine Sekunde stellt, kann das durchaus
passieren :mrgreen: .

Das mit den Netgear-Geraeten ist auch ganz nett.

Auf jedenfall Danke fuer die Info.

 

[exim]

Hihi, der SPA macht das wirklich! Habe den DNS-Server auf Linux abgeschalten und "tcpdump -i eth0 src host spa.ande.local and dst port domain" angesetzt - der SPA fragt etwas mehr als 1x pro Sekunde beim DNS und zwar nach allen möglichen Namen die er so auflösen möchte. Und das endlos!
Dann ist das aber ein Problem beim VoIP-Provider und seiner SPA-Provisionierung, also falscher DNS drinnen. Denn wenn der SPA einen normalen gesprächigen und rekursiv antwortenden DNS hat verhält er sich normal, pro Gesprächsaufbau zwischen vier und acht Anfragen.
Mit iterativen Antworten kann er scheinbar nix anfangen.

 

[koehler]

Stephan: ich meine, er spielt konkret auf einen Firmwarebug an.

 

[Stephan]

Hallo,

@Michael
- war mir bei Netgear schon klar. Exim hat es ja auch quasi fuer den
Sipura bestaetigt. Dieser Fehler scheint aber nur aufzutreten, wenn
der DNS von einem 'Steckdosen-Admin' aufgesetzt bzw. verwaltet wird .
[Must Call a person with more Server Experience]. Bind in a Nutshell reicht
eben manchmal nicht aus und ist bei WindosSystem eh ueberfluessig - Nach
dem Motto 'Click Dich schlau' - habe schon einiges bei meinen Kollegen
miterleben muessen bzw. durfte es dann spaeter wieder richten.

Uebrigens nette Redirect-Domain Michael...

 

[exim]

Iterative DNS-Server, d.h. Server welche die Fragen nicht direkt beantworten sondern auf einen anderen Nameserver verweisen, sind 'was Normales, z.B. laufen u.a. die Root-Server nach dieser Variante. DNS-Clients die iterative Antworten nicht verstehen gíbt es leider auch. Und der SPA scheint wohl so ein Gerät zu sein. "Richtigen" DNS eintragen und gut ist's.

 

[Stephan]

Hallo Exim,

eben. Full Ack. So long ...