possible DNS-rebind attack detected: "googlecm.hit.gemius.pl."

[SACRED]

Всем привет, на кинетике начало сыпать в журнал при чем от разных источников уведомление:

possible DNS-rebind attack detected: "googlecm.hit.gemius.pl." IN A "255.255.255.255" (client 192.168.1.112).

possible DNS-rebind attack detected: "nexusrules.officeapps.live.com." IN A "255.255.255.255" (client 192.168.1.14).
Что это может быть?

[keenet07]

Первая это, возможно майнер в браузере установился. Проверьте в какой момент сыплет сообщениями. Закройте браузер. Откройте снова и посмотрите в лог не появились ли сообщения об этой ДНС атаке. Если есть, нужно почистить в браузере дополнения или скрипты. Может помочь сброс настроек по умолчанию в браузере, если не жалко сбрасывать. 

А в целом такие сообщения могут появляться как на некоторые вполне легальные обращения по подобным адресам, так и вредоносные.

Подробнее, в любой поисковик забейте эти домены. Там есть все необходимые инструкции.

Изменено 30 апреля, 2022 пользователем keenet07

[SACRED]

10 минут назад, keenet07 сказал:

Первая это, возможно майнер в браузере установился. Проверьте в какой момент сыплет сообщениями. Закройте браузер. Откройте снова и посмотрите в лог не появились ли сообщения об этой ДНС атаке. Если есть, нужно почистить в браузере дополнения или скрипты. Может помочь сброс настроек по умолчанию в браузере, если не жалко сбрасывать. 

А в целом такие сообщения могут появляться как на некоторые вполне легальные обращения по подобным адресам, так и вредоносные.

Еще нюанс, кинетик в сети чисто в роли шлюза, есть отдельный днс сервер в сети, его проверял на вирусы и целостность, все отлично, ничего не нашло.

Еще волнует вопрос, судя по логам кинетика, идет куча запросов по 53 порту на днс сервер сети. Или это обращение пользователей на сайты? Или через межсетевой экран выставить разрешение только на IP DNS провайдера?

Изменено 30 апреля, 2022 пользователем SACRED

[keenet07]

2 минуты назад, SACRED сказал:

Еще нюанс, кинетик в сети чисто в роли шлюза, есть отдельный днс сервер в сети, его проверял на вирусы и целостность, все отлично, ничего не нашло.

А что должно было найти? Это такой тип атаки, когда доменное имя обращается на адреса локальных сетей, а не в глобальную сеть. Кинетик видит DNS обращения клиентов подключенных к нему.

5 минут назад, SACRED сказал:

Еще волнует вопрос, судя по логам кинетика, идет куча запросов по 53 порту на днс сервер сети.

На какой DNS сервер? И что у вас на роутере в качестве DNS настроено? 

[Deenamik]

Тоже такая бяка вылезла "googlecm.hit.gemius.pl." в логе кинетика за 10 секунд 31 раз повторилась. По истории браузера, время первого такого сообщения совпадает с посещением сайта 2ip.ru. В событиях windows: "Разрешение имен для имени googlecm.hit.gemius.pl истекло после отсутствия ответа от настроенных серверов DNS."

[walador]

У меня аналогично 

Июн 23 17:54:58

 ndnproxy

possible DNS-rebind attack detected: "nexusrules.officeapps.live.com." IN A "255.255.255.255"

[Deenamik]

И снова здравствуйте

Июн 24 18:51:32

 ndnproxy

possible DNS-rebind attack detected: "vkgalv.hit.gemius.pl." IN A "255.255.255.255" (client 192.168.1.86).

Июн 24 18:55:06

 ndnproxy

Core::Syslog: last message repeated 252 times.

252 раза, страшно!

Может dns виноват? 

Дох и Дот от Quad9 и  cloudflare (1.1.1.2/1.0.0.2)

Скрытый текст

DoT

9.9.9.9  dns.quad9.net

149.112.112.112  dns.quad9.net

1.1.1.2  cloudflare-dns.com

1.0.0.2 cloudflare-dns.com

DoH

https://dns.quad9.net/dns-query

https://1.1.1.2/dns-query

https://1.0.0.2/dns-query

 

Что то пока их (оба днс провайдера), не прописал, не видел ничего с NextDNS.

 

Изменено 24 июня, 2022 пользователем Deenamik

[keenet07]

Если все ваши сайты открываются корректно, то не обращайте внимания на эти сообщения. Эта защита прикрывает вас от данных возможных атак со стороны DNS и хорошо. 

[Deenamik]

Только что, keenet07 сказал:

Если все ваши сайты открываются корректно, то не обращайте внимания на эти сообщения. Эта защита прикрывает вас от данных возможных атак со стороны DNS и хорошо. 

Открываются хорошо. В чём корень беды? Вот в чём вопрос. 

[keenet07]

Да вот тут всё написано, если внимательно прочитать. https://ru.wikipedia.org/wiki/DNS_rebinding или вот https://networkguru.ru/dns-rebinding-attack/

Смысл в том что некоторые сайты своем коде имеют ссылки на локальные IP адреса вместо глобальных и с помощью этого могут обращаться к устройствам вашей локальной сети, к которым доступа иметь не должны.

А эта защита в прошивке, не дает им этого делать.

Для некоторых сайтов такой механизм обращения является необходимым. Например некоторые личные кабинеты банков, которые работают с помощью расширений устанавливаемых в браузер.

Изменено 24 июня, 2022 пользователем keenet07

[Deenamik]

1 минуту назад, keenet07 сказал:

Скрытый текст

Да вот тут всё написано, если внимательно прочитать. https://ru.wikipedia.org/wiki/DNS_rebinding

Смысл в том что некоторые сайты своем коде имеют ссылки на локальные IP адреса вместо глобальных и с помощью этого могут обращаться к устройствам вашей локальной сети, к которым доступа иметь не должны.

А эта защита в прошивке, не дает им этого делать.

 

А как скрыть локальный адрес моего оборудования? тест WebRTC IP Address показывает что локальные, скрыты(в настройках браузера)

Да и вообще, с чего в друг "атаки"? Вёл себя хорошо, не баловался... А тут на тебе, одним днём, сыпаться начало....

[keenet07]

6 минут назад, Deenamik сказал:

А как скрыть локальный адрес моего оборудования? тест WebRTC IP Address показывает что локальные, скрыты(в настройках браузера)

Да и вообще, с чего в друг "атаки"? Вёл себя хорошо, не баловался... А тут на тебе, одним днём, сыпаться начало....

Да не нужно ничего скрывать. Защита работает. WebRTC тут вообще не причем. 

А то что атаки у вас появились, это зависит от того какие сайты вы посещаете. Либо какие-то установленные программы обращаются по данным адресам. Для начала определите откуда идут запросы на них на самом устройстве.  

Изменено 24 июня, 2022 пользователем keenet07

[Deenamik]

16 минут назад, keenet07 сказал:

А то что атаки у вас появились, это зависит от того какие сайты вы посещаете

Так всё те же, ничего нового.

16 минут назад, keenet07 сказал:

Либо какие-то установленные программы обращаются по данным адресам

Новых нет, старые.... старые.

 

16 минут назад, keenet07 сказал:

Для начала определите откуда идут запросы на них на самом устройстве

Нужна подсказка. Как это сделать? Wireshark? Только я с ним не особо дружу....

 

Моё мнение что в хроме проблема....

Изменено 24 июня, 2022 пользователем Deenamik
UPD

[keenet07]

16 минут назад, Deenamik сказал:

Нужна подсказка. Как это сделать? Wireshark? Только я с ним не особо дружу....

 

Моё мнение что в хроме проблема....

Ну не обязательно до пакетов просматривать. Смотрите с помощью какого-нибудь брандмауэра который сразу показывает процесс инициирующий соединение. Зависит от вашей ОС. Винда у вас, там или что-то другое... 

Если думаете на хром, то закройте по возможности все остальные сетевые приложения, запустите хром и пооткрывайте сайты которые всегда посещаете. А параллельно наблюдайте в какой момент в логе роутера появится сообщение которое мы обсуждаем.  

[Deenamik]

1 час назад, keenet07 сказал:

Смотрите с помощью какого-нибудь брандмауэра который сразу показывает процесс инициирующий соединение. Зависит от вашей ОС. Винда у вас

Винда 10 версии 1607 со встроенным защитником

1 час назад, keenet07 сказал:

Если думаете на хром, то закройте по возможности все остальные сетевые приложения

Так а кроме хроме больше нет сетевых активных приложений.

Зашёл в VK, с офнутым юблок: (*с включённым юблок ещё куча других ошибок)

Скрытый текст

 

Изменено 24 июня, 2022 пользователем Deenamik
UPD

[SACRED]

Заметил что эта фигня появляются при входе на сайт mail.ru. В коде страницы нашёл это

<img class="tns-counter" src="//gaby.hit.gemius.pl/redot.gif?id=p307_zcheETzAa6qMz9txIZRDkEdhQ7KDXmsxyxyOoP.a7" width="1" height="1" alt="" border="0" />

 

[keenet07]

Ну и ничего страшного. Если функционал mail.ru от этого не страдает. А на случай злонамеренного использования подобной уязвимости, защита у вас включена и переживать не нужно.

За этим доменом 

gaby.hit.gemius.pl

скрывается широковещательный адрес 255.255.255.255 поэтому и ругается защита в логе. Но блокирует.

Изменено 22 февраля, 2023 пользователем keenet07

[SergSLT]

В 24.06.2022 в 21:02, keenet07 сказал:

Да вот тут всё написано, если внимательно прочитать. https://ru.wikipedia.org/wiki/DNS_rebinding или вот https://networkguru.ru/dns-rebinding-attack/

Смысл в том что некоторые сайты своем коде имеют ссылки на локальные IP адреса вместо глобальных и с помощью этого могут обращаться к устройствам вашей локальной сети, к которым доступа иметь не должны.

А эта защита в прошивке, не дает им этого делать.

Для некоторых сайтов такой механизм обращения является необходимым. Например некоторые личные кабинеты банков, которые работают с помощью расширений устанавливаемых в браузер.

Здравствуйте.
А есть возможность добавить такого плана адреса в белый список или что ни будь подобное, что всегда такие запросы пропускались?

[keenet07]

10 минут назад, SergSLT сказал:

Здравствуйте.
А есть возможность добавить такого плана адреса в белый список или что ни будь подобное, что всегда такие запросы пропускались?

Конкретные домены разрешать нельзя. Но есть три режима настройки этой защиты. 

Цитата

DNS: реализована блокировка DNS Rebinding
[no] dns-proxy rebind-protect (strict | auto)
auto — блокировка адресов, входящих в текущие private-подсети (включено по умолчанию)
strict — блокировка всех адресов из списка IANA IPv4 Special-Purpose Address Registry

Т.е. auto, strict и выключено.

Изменено 2 марта, 2023 пользователем keenet07

[SergSLT]

Спасибо, а где эту настройку найти?

Нашел уже.

Однако эта забота о безопасности в купе с моим 2-х дневным опытом владения роутером - отрезала меня от доступа к моему серверу умного дома. 
Хотелось бы что это выбиралось в настройках интерфейса, на более видном месте.

Еще раз спасибо за быстрый ответ.

Изменено 2 марта, 2023 пользователем SergSLT