07-23-2024, 11:07 AM (This post was last modified: 07-25-2024, 02:40 PM by milos_rs.)
Aerodrom u Splitu je navodno pod "napadom" medjutim utvrdio sam da nema SOA zapisa
Dao sam objasnjenje na Linkedinu koje prenosim ovdje:
Malo pojasnjenja sta tacno ne radi sa domenom za aerodrom u Splitu i zasto ne rade SVI servisi
Svaki DNS zapis ima nesto sto se zove SOA - state of authority, to je glavni zapis na korijenskom root .HR koji se trazi. Odatle ide sljedeci NS - nameserver koji su odgovorni (obicno imaju 2) za split-airport . hr
A posto prvi zapis SOA - ne pojavljuje se, tako nije moguce dobiti zapise za:
mail
domenu
ftp
ostale servise
Kako se desilo i da li je to napad?
Obicno se desava da osoba koja rukovodi DNS zapisima ima pristup, i najveci broj slucajeva je ljudska greska (pogresan unos, ostecenje baze pogresnim kopiranjem/bekupom, tako dalje).
U slucaju da napadac ima pristup tome takve stvari se mogu itekako iskoristiti za sirenje virusa, kradju podataka, serviranje laznih informacija, phishing napade i tako dalje. Pa je malo il nikako vjerovatno da je napadac "pobrisao" SOA zapis.
Na slici se nalazi upit za SOA (state of authority) - glavni upit (poslije toga ide upit ka NS/nameserver) i gdje pise da nema zapisa.
Domena nije istekla, postoji i registrovana je do 23.10.2024
07-23-2024, 11:38 AM (This post was last modified: 07-23-2024, 11:45 AM by milos_rs.)
Nisam ispratio vesti, ali bih rekao da jesu pod napadom, IP adrese su im nedostupne. Alternativno objašnjenje je da je neko nešto tehnički pokvario ili je crkao neki hardver, neki ruter, svič, tako nešto, i nema redundanse.
Prilažem ovaj ping gde se ruter muči da me filtrira:
Code:
$ping 193.242.141.100
PING 193.242.141.100 (193.242.141.100) 56(84) bytes of data.
From 193.242.141.12 icmp_seq=1 Packet filtered
From 193.242.141.12 icmp_seq=5 Packet filtered
From 193.242.141.12 icmp_seq=13 Packet filtered
From 193.242.141.12 icmp_seq=16 Packet filtered
From 193.242.141.12 icmp_seq=22 Packet filtered
takođe sve IP adrese koje sam našao iz DNS istorije se ne odazivaju uopšte, a trebalo bi da odgovore sa nečim ako ih otvorim direktno preko IP adrese, time zaobilazeći DNS upit na nedostupnim DNS serverima.
Ovo je istorijski DNS od 21.07, ima SOA ima sve, samo što im je sve iza istih IP adresa koje su pod napadom, pa i DNS serveri što je loša praksa, te je jedan ciljani napad na, recimo, glavni ruter, oborio celu mrežu.
07-23-2024, 11:57 AM (This post was last modified: 07-23-2024, 12:18 PM by milos_rs.)
juče im je menjana BGP ruta:
nagađam da su do juče su išli preko AS35549 a od juče preko AS58312
EDIT: prebrzo skačem do zaključka. AS58312 je njihov ASN, AS35549 je od A1 Hrvatska, moguće je da je link do A1 Hrvatska prekinut iz nekog razloga, ruta se trenutno oglašava preko AS5391, jedan od tri provajdera na koji je omogućeno oglašavanje rute:
Code:
aut-num: AS58312
as-name: ZLSPLIT
org: ORG-ZA83-RIPE
import: from AS35549 accept ANY
export: to AS35549 announce AS58312
import: from AS5391 accept ANY
export: to AS5391 announce AS58312
import: from AS15994 accept ANY
export: to AS15994 announce AS58312
admin-c: IR1475-RIPE
tech-c: IR1475-RIPE
status: ASSIGNED
mnt-by: RIPE-NCC-END-MNT
mnt-by: METRONET
created: 2012-06-20T15:27:05Z
last-modified: 2024-01-30T06:55:43Z
source: RIPE
sponsoring-org: ORG-VGd1-RIPE
07-23-2024, 12:19 PM (This post was last modified: 07-23-2024, 12:21 PM by milos_rs.)
ne mora da znači, možda su namerno prekinuli linkove zbog nekog napada... Uglavnom sad će naučiti barem osnovnu stvar u mrežama a to je da se DNS ne stavlja na istu mrežu kao i sve ostalo, jer sada je njima na primer mejl u prekidu, džabe im mejl na Outlook365 kada DNS ne odgovara na upite. Sada treba da promene NS servere na domenu na neke funkcionalne i tamo dignu zonu za svoj domen, da bi povratili mejl barem dok ne rešavaju ostalo.
07-23-2024, 12:39 PM (This post was last modified: 07-23-2024, 12:40 PM by kernel_priest.)
(07-23-2024, 12:19 PM)milos_rs Wrote: ne mora da znači, možda su namerno prekinuli linkove zbog nekog napada... Uglavnom sad će naučiti barem osnovnu stvar u mrežama a to je da se DNS ne stavlja na istu mrežu kao i sve ostalo, jer sada je njima na primer mejl u prekidu, džabe im mejl na Outlook365 kada DNS ne odgovara na upite. Sada treba da promene NS servere na domenu na neke funkcionalne i tamo dignu zonu za svoj domen, da bi povratili mejl barem dok ne rešavaju ostalo.
Ne postoje napadi. Jucerasnji dan je sajt radio bez problema - nije bilo nista. Danas/sinoc je doslo do havarije. Mislim da nisu propisno uradili prebacivanje
A sto se napada tice i grupa koje su u mogucnosti da urade, nemaju objavljene informacije. I opet da je uradjeno prebacivanje bas zbog napada, uradili bi kako treba.
Ovo je uradjeno pola pola - jedan dio je trebao aerodrom da uradi, uradili lose. Drugi ljudi - HR telekom, odradili kako treba.
To je to. Samo se sakrivaju iza "imamo napad".
Pratio sam napad na archive . org, na EIB (european investment bank) i jos nekoliko organizacija - na pamet mogu da ti opisem na sta lice napadi. Kod Archive su udarili na ruter i pogasili ali su ovi prostim blokiranjem porta na ruteru (port za pristup, ssh) i restartom istog sredili sve.
Napadi imaju "valovito" ponasanje, ljudske greske su uvijek flat line plus ostaju tragovi (DNS nije updejtovan, gejtvej nije updejtovan i slicno)
