Ankündigung vom 10.7.2013 zur bevorstehenden Umstellung der DNS-Server auf dem Campus

Die DNS-Server auf dem Campus der Uni Bremen wurden in den letzten Wochen für Denial-of-Service-Angriffe missbraucht. Beschwerden darüber sind uns u.a. über den DFN-Verein zugegangen. Möglich ist die konkrete Form von Angriff, weil die DNS-Server als Open Resolver konfiguriert sind. Das heißt, sie stellen rekursive Namensauflösung für Clients außerhalb der Uni Bremen zur Verfügung.

Die DNS Amplification Attacks laufen wie folgt ab: Der Angreifer setzt (oft über ein Botnet) mit der gefälschten IP-Adresse des Angriffsziels als Absender versehene DNS-Anfragen ab. Da die Antworten der DNS-Server oftmals deutlich größer sind als die Anfragen (bis zum Faktor 100), wirken diese als Verstärker für das Botnet. Bei einem Angriff auf spamhaus.org im März 2013 wurden so aus grob 750 Mbit/s an DNS-Anfragen 75 Gbit/s, die beim Angriffsziel ankamen.

Eine feingranulare Filterung der eingehenden DNS-Anfragen ist leider nicht möglich. Als einzige Form der Abhilfe verbleibt derzeit nur: Es darf auf dem Campus keine als Open Resolver konfigurierten DNS-Server mehr geben. Die DNS-Server des FB 3, also

   ns.informatik.uni-bremen.de (134.102.200.14)
   ns.tzi.org (134.102.218.46)

werden ab

so umgestellt, dass keine rekursiven Anfragen von außerhalb des Campusnetzes mehr beantwortet werden. Zeitgleich wird auch der unizentrale DNS-Server des Zentrums für Netze,

   ines.zfn.uni-bremen.de (134.102.20.20)

entsprechend umgestellt. An die Techniker des FB 3 ergeht die Bitte, eventuell vorhandene dezentrale DNS-Server ebenfalls entsprechend zu konfigurieren.

Als Folge der Umstellung müssen Heim-Router, mobile Rechner und andere außerhalb des Campusnetzes genutzten Geräte bis zum genannten Zeitpunkt umkonfiguriert werden, wenn dort bisher unsere zentralen DNS-Server eingetragen waren. In die Heim-Router können beispielsweise die DNS-Servers des jeweiligen Providers eingetragen werden bzw. diese können automatisch über DHCP bezogen werden. Alternativ können auch die IP-Adressen des Google Public DNS (8.8.8.8 und 8.8.4.4) verwendet werden. Eine Aufstellung weiterer frei verfügbarer DNS-Server läßt sich durch eine Suche im Web leicht finden.

Wir bitten um Verständnis für diese Maßnahme, auch für den gesetzten Zeitrahmen.

Bei Fragen hierzu bitte an

oder

wenden.

Abschaltung_Open_Resolver (last edited 2013-07-10 14:01:53 by OliverLaumann)