web-dev-qa-db-fra.com

Un client DNS escroc distant a-t-il réussi à passer à travers la première règle iptables d'un serveur DNS Linux?

Ubuntu 20.04
iptables 1.8.4-1

J'ai rencontré une situation où un système distant semblait pouvoir passer à travers la règle premier iptables d'un serveur Linux situé derrière un routeur NAT:

-A INPUT -s <remote_ip_addresses_range> -j DROP

Malgré la règle ci-dessus, j'ai pu voir l'instantané suivant en utilisant pktstat -tF -i <wired_ethernet_interface>:

udp <remote_fqdn>:29937 <-> <server_fqdn>:domain
udp <remote_fqdn>:21862 <-> <server_fqdn>:domain
udp <remote_fqdn>:37097 <-> <server_fqdn>:domain
udp <remote_fqdn>:1886 <-> <server_fqdn>:domain
udp <remote_fqdn>:16824 <-> <server_fqdn>:domain
udp <remote_fqdn>:43989 <-> <server_fqdn>:domain
udp <remote_fqdn>:49939 <-> <server_fqdn>:domain
udp <remote_fqdn>:25297 <-> <server_fqdn>:domain
udp <remote_fqdn>:13319 <-> <server_fqdn>:domain
udp <remote_fqdn>:62586 <-> <server_fqdn>:domain
udp <remote_fqdn>:24825 <-> <server_fqdn>:domain
udp <remote_fqdn>:52733 <-> <server_fqdn>:domain
udp <remote_fqdn>:44866 <-> <server_fqdn>:domain
udp <remote_fqdn>:19691 <-> <server_fqdn>:domain
udp <remote_fqdn>:31634 <-> <server_fqdn>:domain
udp <remote_fqdn>:36689 <-> <server_fqdn>:domain
udp <remote_fqdn>:20213 <-> <server_fqdn>:domain
udp <remote_fqdn>:38816 <-> <server_fqdn>:domain
udp <remote_fqdn>:62049 <-> <server_fqdn>:domain
udp <remote_fqdn>:51384 <-> <server_fqdn>:domain
udp <remote_fqdn>:55557 <-> <server_fqdn>:domain
udp <remote_fqdn>:39710 <-> <server_fqdn>:domain
udp <remote_fqdn>:56031 <-> <server_fqdn>:domain
udp <remote_fqdn>:50839 <-> <server_fqdn>:domain
udp <remote_fqdn>:53202 <-> <server_fqdn>:domain
udp <remote_fqdn>:39416 <-> <server_fqdn>:domain
udp <remote_fqdn>:25693 <-> <server_fqdn>:domain
udp <remote_fqdn>:55591 <-> <server_fqdn>:domain
udp <remote_fqdn>:30182 <-> <server_fqdn>:domain

Je suis certain que <remote_fqdn> est dans <remote_ip_addresses_range>.

Je ne vois que 2 explications possibles à cette situation:

  • pktstat renifle les paquets avant le filtrage iptables, ce qui, je doute, est possible
  • il y a une faille de sécurité dans iptables

La trace tcpdump montre que toutes les requêtes DNS escrocs sont similaires; l'attaquant a tenté de détourner le serveur avec des recherches DNS récursives d'un étrange domaine DNS: packet.cf (pas le domaine desservi par <server_fqdn>).

Quelqu'un avec un indice?

11

pktstat renifle les paquets avant le filtrage iptables, ce qui, je doute, est possible

Voilà ce qui se passe. pktstat, tcpdump etc. récupèrent les données non filtrées sur l'interface. Voir aussi tcpdump contourne-t-il iptables? .

29
Steffen Ullrich