.titleBar { margin-bottom: 5px!important; }

(EN) Sipura VoIP phone adapters and DoS against name servers

Dieses Thema im Forum "Linksys (VoIP)" wurde erstellt von koehler, 6 Juli 2004.

  1. koehler

    koehler Forumsbundespräsident

    Registriert seit:
    10 März 2004
    Beiträge:
    895
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Unterbezahlte Voodoopuppe
    von der nanog (http://www.nanog.org/) mailliste:

    Unbestaetigt seitens SipUra (kann also auch unwahr sein)


    ----- Forwarded message from sthaug@nethelp.no -----

    From: sthaug@nethelp.no
    To: nanog@merit.edu
    Date: Mon, 05 Jul 2004 18:57:03 +0200
    Subject: Sipura VoIP phone adapters and DoS against name servers


    Last night we configured our equipment to reject recursive DNS lookups
    from non-customers. This morning, soon after normal office hours began,
    we started receiving around 2500 DNS lookups per second more than normal
    to our recursive name servers.

    After analyzing the DNS lookups, we found that all of the extra traffic
    was generated from customers of a local VoIP provider which uses Sipura
    (SPA-2000) phone adapters. It seems that when these adapters don't
    receive answers to their DNS queries, they will retransmit the query
    once per second (until they receive an answer). Multiply by number of
    adapters, and you have the recipe for a nice DoS.

    Shades of Netgear NTP DoS (http://www.cs.wisc.edu/~plonka/netgear-sntp/)
    - don't vendors ever learn?

    Steinar Haug, Nethelp consulting, sthaug@nethelp.no
     
  2. haeberlein

    haeberlein Aktives Mitglied

    Registriert seit:
    10 März 2004
    Beiträge:
    1,712
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Bitte auf deutsch kann leider kein englisch
     
  3. Stephan

    Stephan Neuer User

    Registriert seit:
    24 Mai 2004
    Beiträge:
    117
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
  4. haeberlein

    haeberlein Aktives Mitglied

    Registriert seit:
    10 März 2004
    Beiträge:
    1,712
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    VHS ist ein guter Tip bei 3 Schichtsystem als Lokführer. Aber mann koennte es doch gleich in Deutsch schreiben ,denn schließlich sind wir Deutsche und sprechen im Normalfall die Deutsche Muttersprache ,oder gehören wir schon zu Amerika ,England oder wo sonst noch englisch gesprochen wird.
    Schon mal ne Goggle Übersetzung gelensen? Da versteht man fast kein Wort.
     
  5. koehler

    koehler Forumsbundespräsident

    Registriert seit:
    10 März 2004
    Beiträge:
    895
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Unterbezahlte Voodoopuppe
    Der Norgewe, der das geschrieben hat, war jedenfalls so freundlich das in englischer Sprache zu verfassen. Die Uebersetzung handelt von einer Menge SipUras die auf einmal angefangen haben einen DNS Server mit einer Unmenge von DNS Requests zu bombadieren (sicher uebertrieben) weil DNS Anfragen die von diesen SipUras abgingen nicht mehr beantwortet wurden. So die Vermutung des Autors. Ergaenzend gab er einen Hinweis auf ein Netgear Produkt und zog eine Parallele.

    Btw. Das muss nicht die Wahrheit sein :)


    Gruss,

    Michael
     
  6. Stephan

    Stephan Neuer User

    Registriert seit:
    24 Mai 2004
    Beiträge:
    117
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    @haeberlein
    das mit dem Schichtdienst ist natuerlich uebel. Leider sind in der
    Computerwelt die meisten Anleitungen und Virus-Warnungen in
    englisch - Bevor soetwas dann in der deutschen Welt bekannt wird,
    ist es dann meistens schon zu spaet. Mit diesen Moeglichkeiten (die
    ich oben aufgezaehlt habe) kann man sich gut selbst helfen. Arbeite
    auch viel damit, ein wenig Wissen bzgl. englischer Grammatik ist
    aber wirklich Vorteilhaft, da muss ich Dir Recht geben... den Rest
    per PN weil OT.

    @Michael
    dann haben wir ja glueck gehabt das wir es nicht aus dem 'Norwegischen'
    uebersetzen mussten :lol: . Aber zurueck zum Thema...

    Kann ich mir eigentlich nicht vorstellen, ich meine wenn man die Geraete
    Verkonfiguriert - ist bestimmt alles moeglich. Dingen von denen man keine
    Ahnung hat - sollte man halt die Finger lassen, oder vorher mal das Handbuch
    lesen ... :) den Rev.-Lookup kann man auch abschalten, ist glauche ich
    auch Standard. Wenn ich mich recht erinnere, wird so eine Anfrage aber
    auch hoechsten nur einmal pro Verbindungsherstellung erfolgen/gestellt.
    Wenn man die TTL natuerlich auf eine Sekunde stellt, kann das durchaus
    passieren :mrgreen: .

    Das mit den Netgear-Geraeten ist auch ganz nett.

    Auf jedenfall Danke fuer die Info.
     
  7. exim

    exim Admin a.D.

    Registriert seit:
    27 Apr. 2004
    Beiträge:
    1,013
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hihi, der SPA macht das wirklich! Habe den DNS-Server auf Linux abgeschalten und "tcpdump -i eth0 src host spa.ande.local and dst port domain" angesetzt - der SPA fragt etwas mehr als 1x pro Sekunde beim DNS und zwar nach allen möglichen Namen die er so auflösen möchte. Und das endlos!
    Dann ist das aber ein Problem beim VoIP-Provider und seiner SPA-Provisionierung, also falscher DNS drinnen. Denn wenn der SPA einen normalen gesprächigen und rekursiv antwortenden DNS hat verhält er sich normal, pro Gesprächsaufbau zwischen vier und acht Anfragen.
    Mit iterativen Antworten kann er scheinbar nix anfangen.
     
  8. koehler

    koehler Forumsbundespräsident

    Registriert seit:
    10 März 2004
    Beiträge:
    895
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Unterbezahlte Voodoopuppe
    Stephan: ich meine, er spielt konkret auf einen Firmwarebug an.
     
  9. Stephan

    Stephan Neuer User

    Registriert seit:
    24 Mai 2004
    Beiträge:
    117
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    @Michael
    - war mir bei Netgear schon klar. Exim hat es ja auch quasi fuer den
    Sipura bestaetigt. Dieser Fehler scheint aber nur aufzutreten, wenn
    der DNS von einem 'Steckdosen-Admin' aufgesetzt bzw. verwaltet wird :).
    [Must Call a person with more Server Experience]. Bind in a Nutshell reicht
    eben manchmal nicht aus und ist bei WindosSystem eh ueberfluessig - Nach
    dem Motto 'Click Dich schlau' - habe schon einiges bei meinen Kollegen
    miterleben muessen bzw. durfte es dann spaeter wieder richten.

    Uebrigens nette Redirect-Domain Michael...
     
  10. exim

    exim Admin a.D.

    Registriert seit:
    27 Apr. 2004
    Beiträge:
    1,013
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Iterative DNS-Server, d.h. Server welche die Fragen nicht direkt beantworten sondern auf einen anderen Nameserver verweisen, sind 'was Normales, z.B. laufen u.a. die Root-Server nach dieser Variante. DNS-Clients die iterative Antworten nicht verstehen gíbt es leider auch. Und der SPA scheint wohl so ein Gerät zu sein. "Richtigen" DNS eintragen und gut ist's.
     
  11. Stephan

    Stephan Neuer User

    Registriert seit:
    24 Mai 2004
    Beiträge:
    117
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo Exim,

    eben. Full Ack. So long ...