1 Temat przez jzef

  • jzef
  • jzef
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-01-16
  • Posty: 872

Temat: DNS-rebind attack detected

Wczoraj jak miałem No Service: https://eko.one.pl/forum/viewtopic.php? … 95#p292495 to zauważyłem w logach OpenWrt takie coś:

Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.android.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.android.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.android.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.android.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.android.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.android.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 0.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 0.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.pool.ntp.org
Sat Jul 29 16:29:33 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.pool.ntp.org
Sat Jul 29 16:29:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.pool.ntp.org
Sat Jul 29 16:29:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.pool.ntp.org
Sat Jul 29 16:29:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.pool.ntp.org
Sat Jul 29 16:29:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.pool.ntp.org
Sat Jul 29 16:29:42 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.openwrt.pool.ntp.org
Sat Jul 29 16:29:45 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: mtalk.google.com
Sat Jul 29 16:29:45 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: mtalk.google.com
Sat Jul 29 16:29:48 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: play.googleapis.com
Sat Jul 29 16:29:48 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: play.googleapis.com
Sat Jul 29 16:29:49 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: embeddedassistant.googleapis.com
Sat Jul 29 16:29:57 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.openwrt.pool.ntp.org
Sat Jul 29 16:30:08 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: mtalk.google.com
Sat Jul 29 16:30:12 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.openwrt.pool.ntp.org
Sat Jul 29 16:30:17 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: embeddedassistant.googleapis.com
Sat Jul 29 16:30:26 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: mtalk.google.com
Sat Jul 29 16:30:26 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: mtalk.google.com
Sat Jul 29 16:30:27 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 0.openwrt.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: time.android.com
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: time.android.com
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 0.android.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 0.android.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.android.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.android.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.android.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.android.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.android.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.android.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 0.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 0.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.pool.ntp.org
Sat Jul 29 16:30:34 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.pool.ntp.org
Sat Jul 29 16:30:36 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: mtalk.google.com
Sat Jul 29 16:30:42 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 3.openwrt.pool.ntp.org
Sat Jul 29 16:30:44 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: github.com
Sat Jul 29 16:30:46 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: embeddedassistant.googleapis.com
Sat Jul 29 16:30:49 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: androidtvwatsonfe-pa.googleapis.com
Sat Jul 29 16:30:49 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: androidtvwatsonfe-pa.googleapis.com
Sat Jul 29 16:30:57 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 2.openwrt.pool.ntp.org
Sat Jul 29 16:31:12 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: 1.openwrt.pool.ntp.org
Sat Jul 29 16:31:14 2023 daemon.warn dnsmasq[1484]: possible DNS-rebind attack detected: embeddedassistant.googleapis.com

Czy to wynikło z błędnego działania firmware czy dopadł mnie jakiś boot i faktycznie atakował? Tylko dziwne iż dużo adresów jest z google.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DNS-rebind attack detected

Jak hilink nie ma połączenia z internetem to robi samodzielnie redirecta na swoją stronę, np. 192.168.8.1. Wszystkie zapytania o dowolną domenę zwracają 192.168.8.1, więc dnsmasq adres 192.168.8.1 przy zapytaniu się od domenę np. ntp.org traktuje jako  możliwy atak DNS-rebind attack (bo wie że taki adres powinien zwrócić adres ip publiczny a nie prywatny).

Te googlowe to oczywiście podłączenie z jakiegoś telefonu z androidem który sam coś chciał z internetu.

W tym przypadku to żaden problem i wszystko się odbyło wg założeń.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez jzef

  • jzef
  • jzef
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-01-16
  • Posty: 872

Odp: DNS-rebind attack detected

Też mi się tak wydawało iż to fałszywy alarm ale wolałem się upewnić.