/dev/null - Overig

DNS aanval geweest tussen 17 en 21 september 2023?

Reageer met quote
24-10-2023, 10:44 door Anoniem, 6 reacties
Ik ben de logfiles aan het nalopen van al mijn netwerken en heel typisch zie ik op 17 tot en met 21 september, dat bij al mijn Nederlandse providers de failover naar secondary of root- DNS servers heeft plaatsgevonden.

Het viel in eerste instantie niet op want DNS is vrij robuust en DNS servers van bepaalde nederlandse providers zijn, laat ik het voorzichtig zeggen, staan niet erg hoog op mijn lijstje van servers die ik zou gebruiken om stabiliteit van internet te meten.

Maar toevallig zag ik op zowel KPN, Odido, Ziggo op hetzelfde tijdstip op verschillende locaties de DNS service onderuit gaan, hetzelfde voor mijn kantoor in Londen (BT).
Op de APNIC stats pagina zie ik een zelfde soort grafiek maar daar zijn de samples ook van een paar ton naar een paar honderd gegaan. Dus die vertekening is niet te verifieren.

Iemand een idee wat er toen is gebeurd?
Reacties (6)
Reageer met quote
24-10-2023, 12:12 door Anoniem
Was het deze? https://portswigger.net/daily-swig/hidden-dns-resolver-insecurity-creates-widespread-website-hijack-risk

Er zijn ook regelmatig grote botnet aanvallen, o.a. via Mirai.

luntrus
Reageer met quote
24-10-2023, 12:28 door Anoniem
Dat is een verdomd lange periode.
Als hosting dienstverlener zie ik bij ons in het systeem laatste significante DDoS op 5 Sep 2023 9:00 en mitigation via scrubbing center om 9:55 voltooid.


Gekeken naar buiten specifiek Google echter zie ik volgende observatie
https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps

Wat weer te maken had met de HTTP/2 vulnr
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
Ook hier op de site vermeldt onder https://www.security.nl/posting/813782/Zerodaylek+in+HTTP_2-protocol+gebruikt+voor+record+ddos-aanval

Vermoedelijk dat ze het daar via hebben geprobeerd.
Al heb ik echter geen berichten van Nederlandse ISP's gezien.
Reageer met quote
24-10-2023, 13:06 door Anoniem
Juist, ja. Deze onverlaten zijn 3 maanden bezig geweest -> https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487 met o.a. Cloudflare en Google kwetsbaar. Ga je lekker mee.
Is alles al gepatched? Kijk anders een via Intellitamper en Webhint.

luntrus
Reageer met quote
25-10-2023, 17:00 door Anoniem
Ik kan het niet meer nakijken, maar ik vermoed dat er een outage heeft plaatsgevonden (er waren vroeger wat monitoring zaken die dat lieten zien bij RIPE en BGPmon) en dat de convergentietijd, die moet zorgen dat de routers hun nieuwe nexthops gaan aanspreken, dermate lang heeft geduurd.
dat kan zorgen voor een failover op applicatie nivo.
my 2 cts
Reageer met quote
25-10-2023, 17:22 door Anoniem
Ik merk voor het eerst grote storingen onderweg naar Scandinavia de afgelopen 2 dagen... Niet specifiek DNS
Reageer met quote
26-10-2023, 12:17 door Anoniem
niets van gemerkt ik gebruikt...1.1.1.1/1.0.0.1.....geen problemen ondervonden...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search