RPZ qname-wait-recurse no

No DNS records are needed for a QNAME or Client-IP trigger. The name or IP address itself is sufficient, so in principle the query name need not be recursively resolved. However, not resolving the requested name can leak the fact that response policy rewriting is in use and that the name is listed in a …

Continue reading ‘RPZ qname-wait-recurse no’ »

Infoblox Reporting and Analytics for Security

    Recently Infoblox released a new version of our reporting solution, which we renamed “Infoblox Reporting and Analytics”. The solution is based on the Splunk engine and delivers an enhanced reporting interface so now you can create custom dashboards, reports, and alerts. This gives you unlimited possibilities to analyze data and mine invaluable knowledge about your …

Continue reading ‘Infoblox Reporting and Analytics for Security’ »

Случайные и фантомные домены (random subdomain, phantom domain), DDoS атака на кэширующий DNS

    Начиная с января месяца многие провайдеры в РФ подверглись/подвергаются атакам на DNS инфраструктуру, помимо Amplification/Reflection атаки активно использовалась/используется атака Random subdomain/Phantom Domain (атака случайными или фантомными доменами). Информация по атакам была получена мной от нескольких провайдеров в европейской части России и в западной Сибири (крупные региональные и московские провайдеры). При этом кто-то просто подтверждал наличие …

Continue reading ‘Случайные и фантомные домены (random subdomain, phantom domain), DDoS атака на кэширующий DNS’ »

How dangerous can be an open DNS resolver

    Almost every IT specialist knows that open recursive DNS server can be very dangerous but I’ve never seen any example what happens and how fast it will be utilized in inappropriate way. These were interesting questions for me and I decided to make a small study and opened my DNS server for everybody in Internet. …

Continue reading ‘How dangerous can be an open DNS resolver’ »

Релиз NIOS 7.0 и новые продукты. Вебинар компании Infoblox 25 февраля в 11:00 МСК

    Infoblox начинает новый год с захватывающей новости! Выпущен Infoblox NIOS версии 7.0, который содержит много новых функций.     В версии 7.0 Infoblox также представляет два новых продукта: Infoblox Cloud Network Automation и Infoblox DNS Traffic Control. Вот только некоторые новые функции и улучшения: Новая платформа – Infoblox Cloud Network Automation Новый продукт GSLB – Infoblox DNS …

Continue reading ‘Релиз NIOS 7.0 и новые продукты. Вебинар компании Infoblox 25 февраля в 11:00 МСК’ »

Открытый рекурсивный DNS-сервер. Часть 2

Практически 4 месяца назад я открыл свой рекурсивный DNS-сервер для всех пользователей интернет (см. предыдущую статью). Накопленный объем данных на первом этапе теста был достаточно большим, для его визуализации я загнал данные в БД и построил динамические изменяющиеся графики и карту. Записанное видео можно посмотреть под катом. Результат получился достаточно интересным, поэтому полностью закрывать DNS-сервер …

Continue reading ‘Открытый рекурсивный DNS-сервер. Часть 2’ »

Подарок от VmWare или как заблокировать свой сервер на хостинге

    Вернувшись в субботу вечером с увеселительной прогулки за грибами, я обнаружил странное состояние ноутбука: – интернет не работает; – VPN с сервером установлен и работает. Отключив VPN, я немедленно получил “письмо счастья” от Hetzner: Dear Sir or Madam Your server with the above-mentioned IP address has carried out an attack on another server on the …

Continue reading ‘Подарок от VmWare или как заблокировать свой сервер на хостинге’ »

DNS attacks visualization

DNS can be very interesting. Below is the visualization of DNS attacks. Have fun! Some details about this study you can read here (in Russian). Later I will prepare full report about it on English and Russian. BR, Vadim

Response Policy Zones (RPZ) на страже сети

    Мой эксперимент с открытием рекурсивного DNS сервера для всех желающих получился настолько успешным, что срочно пришлось менять правила игры. Вместо полного закрытия рекурсивного DNS я решил ограничить доступ к наиболее популярным у атакующих доменам с помощью механизма RPZ (Response Policy Zone).      RPZ – это функционал DNS-сервера Bind, грамотное использование которого позволяет решить следующие проблемы: …

Continue reading ‘Response Policy Zones (RPZ) на страже сети’ »

Насколько опасен открытый рекурсивный DNS-сервер?

Неоспоримо, что «выставляя сервер» в интернет необходимо позаботиться о его безопасности и максимально ограничить доступ к нему. Протокол DNS может использоваться как для атак на инфраструктуру (DNS сервер, канал) жертвы, так и для атаки на другие компании. За последний год количество таких атак увеличилось как минимум в 2 раза. На сайте, который визуализирует DDoS атаки …

Continue reading ‘Насколько опасен открытый рекурсивный DNS-сервер?’ »