Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Submitter: Precision

Een onverwacht hoge piek in het aantal dns-verzoeken op de nameservers van registrar Dns.be is vermoedelijk het gevolg van een mislukte spamaanval. Een aantal nameservers was circa vier uur moeilijk tot niet bereikbaar.

DNS.beDns.be, de beheerder van .be-domeinen, meldt dat zijn nameservers sinds zondag onder vuur liggen. De dns-servers zouden tot zesmaal meer query's hebben ontvangen dan normaal. Volgens de registrar zou een botnet de mx-records van .be-domeinnamen op grote schaal bij zijn tld-servers hebben opgevraagd. Omdat deze mail-informatie op de nameservers van de domeinnaamhouders staat, moesten de dns-servers continu een negatief antwoord geven op deze query's.

Door de aanhoudende requests zouden twee nameservers gedurende een periode van vier uur overbelast zijn geraakt. Volgens Dns.be konden de overige zes tld-nameservers de piek opvangen. De registrar zegt inmiddels samen met de CERT en de FCCU een onderzoek naar de ongewoon hoge belasting van zijn netwerk te zijn begonnen.

Een woordvoerder van het Belgische CERT laat aan De Standaard weten dat aanvankelijk aan een gerichte ddos-aanval werd gedacht, maar uit een nadere analyse zou blijken dat een groep spammers met een slecht geconfigureerd botnet aan de slag is gegaan. Door de configuratiefout zouden continu verkeerde query's worden afgevuurd op de dns-servers van Dns.be. Het verkeer zou vooral afkomstig zijn uit Oost-Europese en Zuid-Amerikaanse landen.

Moderatie-faq Wijzig weergave

Reacties (25)

Volgens de registrar zou een botnet de mx-records van .be-domeinnamen op grote schaal bij zijn tld-servers hebben opgevraagd. Omdat deze mail-informatie op de nameservers van de domeinnaamhouders staat, moesten de dns-servers continu een negatief antwoord geven op deze query's.
Err dat klopt niet. Een MX record vragen aan een TLD server is juist heel normaal. In plaats van een negatief antwoord moeten die servers steeds een referral geven, geen negatief (nxdomain) antwoord.
Claimen ze niet in een eerder nieuwsbericht 43 servers te hebben?

Het zal dan wel gaan om andere type dns servers maar dit geeft toch wel een krom beeld.

nieuws: BelgiŽ wil noodprocedure voor DNS.be
Voor zover ik begrijp hebben ze zelf 8 servers ( a.ns.dns.be , amsterdam.ns.dns.be , b.ns.dns.be, brussels.ns.dns.be, c.ns.dns.be, london.ns.dns.be, prague.ns.dns.be, x.dns.be)

Verder kunnen ze in het ergste geval nog gebruik maken van 41 anycast servers


Het vorige bericht is al wat ouder dus ik verwacht dat ze er ondertussen zelf 1 a 2 bij hebben (8 ipv 6/7) en dat er ondertussen ook wat meer anycast servers beschikbaar zijn.

Nu was het dus ook trouwens enkel zo dat er 2 van hun servers die moeilijk of soms niet bereikbaar waren.
Vergeet niet dat achter iedere hostname, en ieder anycast IP nog een heel cluster kan zitten, dus zelfs met 8 IP's kunnen het makkelijk honderden machines zijn. Daar ga ik eerlijk gezegd wel een beetje van uit, anders hebben ze toch een aantal grote single points of failure...
Zie daar nergens 43 servers staan hoor. Er staat zelfs 6 van de 7 servers.
Directeur Philip Du Bois van DNS.be ontkent dat: "Niet zes van de zeven servers waren offline, maar zes van de 43", zegt Du Bois tegen Tweakers.net.
Ik wel, dus ben benieuwd naar de echte waarheid.
"Niet zes van de zeven servers waren offline, maar zes van de 43"
"Niet zes van de zeven servers waren offline, maar zes van de 43", zegt Du Bois tegen Tweakers.net.

Dus wel 43 servers.
Een verkeerd geconfigureerd botnet, dat is echt een grote faal. :P Maar ben benieuwd wat voor een lessen ze hier uit gaan trekken.
Het is nogal de vraag of ze er wel achter komen dat ze verkeerde configuratie gebruikten. Kan namelijk best zijn dat ze het botnet gewoon hebben gehuurd voor het versturen van spam en dat ze geen flauw benul hebben dat de configuratie slecht was.
Dan heeft de verhuurder het verkeerd ingesteld... Zou ik niet blij mee zijn als klant.

Ik vraag me trouwens wel af wat een stelletje sukkels niet weet hoe ze een botnet in moeten stellen. Waarschijnlijk gewoon snel iets gedownload, gecompiled en online gegooid. Maar ja, hoe vind zo iemand ooit klanten!?

Overigens is het wel best triest dat die servers 4 uur offline zijn door een spambot foutje. Wat wordt dat wel niet als er eens een serieuzere dDOS aanval op komt?
Een verkeerd geconfigureerd botnet, dat is echt een grote faal
Het maakt de kans dat ze gepakt worden een stuk groter... En daar hoop ik dus op: dat ze die spammers en bijbehorende botnet opsporen...
Ik denk niets. Als je al dit soort basale fouten maakt dan is het niveau niet echt van dien aard dat je er van leert. Volgens mij gaan ze door op trial and error basis.
Botnet programmeurs zijn ook maar mensen, typo hier, ddos attack daar.
Echter geeft dit wel aan wat de potentieel vernietigende kracht is van dit soort netwerken.
Ach wat jammer nou. Worden toch de spammers even gewaarschuwd dat hun botnet niet correct geconfigureerd is... Ik neem aan dat spammers met een botnet niet vaak kijken naar hun inbox om te zien hoeveel miljoenen postmaster berichten ze hebben :Y)
Dacht je dat spammers echte afzendadressen gebruikten dan? Sterker nog, vaak vullen ze als afzender ook een te spammen adres in, dat dan dus de bounce krijgt.

[Reactie gewijzigd door mae-t.net op 7 april 2011 17:00]

Beetje jammer als je zo door de mand valt.. :P
Dan wil ik niet weten wat er dagelijks wel door heen komt, dus met goed geconfigureerde botnets, gezien ze het dan niet hadden opgemerkt.
Sapmmers zijn al de paria's van internet, maar ze maken met hun asociale opportunisme ook nog eens een hoop stuk. Keihard aanpakken, die lui.
De bots proberen uiteraard de MX records (ofwel welke servers accepteren mail voor domein Y) op te vragen. Het heeft verder dus niets met de mailadressen (whois informatie) van de registrars te maken. Echter de dns.be servers bevatten alleen SOA en NS records, de rest moet de dns client zelf ophalen bij de (autoritive) nameserver van het betreffende domein.

Ik begrijp alleen niet waarom dns.be hun DNS software niet zodanig heeft gepatched zodat queries voor andere record types dan SOA en NS direct een negatief antwoord terug geeft.
Niet relevant. Het botnet was gewoon verkeerd ingesteld zodat het net de MX queries ging doen bij de DNS servers van de .be zone, en niet van de domain.be zone. Heeft helemaal niks te maken met het al dan niet aanwezig zijn van e-mail adressen in de WHOIS informatie. Overigens staan e-mail adressen van de licensee niet in de WHOIS van .be.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True