<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Fri, Jan 15, 2016 at 8:49 AM Daniel Dawalibi <<a href="mailto:daniel.dawalibi@idm.net.lb">daniel.dawalibi@idm.net.lb</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal">Hello<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">We observed an unusual traffic combining ICMP and UDP packets while running the tcpdump command on the DNS caching server <u></u><u></u></p><p class="MsoNormal">Kindly note that only UDP DNS traffic is allowed on this server (ICMP is not allowed from outside to DNS server)<u></u><u></u></p><p class="MsoNormal">Any help regarding this issue? Why we are getting ICMP and UDP requests? Could it be an attack?<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><b><u>Logs:<u></u><u></u></u></b></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"># tcpdump –n icmp<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">15:41:05.054237 IP 10.151.130.74 > DNSIP: ICMP 10.151.130.74 udp port 52003 unreachable, length 52<u></u><u></u></p><p class="MsoNormal">15:41:05.064449 IP 10.75.6.36 > DNSIP: ICMP 10.75.6.36 udp port 50162 unreachable, length 52<u></u><u></u></p><p class="MsoNormal">15:41:05.067953 IP 10.33.10.155 > DNSIP: ICMP 10.33.10.155 udp port 50233 unreachable, length 52<u></u><u></u></p><p class="MsoNormal">15:41:05.067958 IP 10.75.15.162 > DNSIP: ICMP 10.75.15.162 udp port 53847 unreachable, length 52<u></u><u></u></p><p class="MsoNormal">15:41:05.072727 IP 10.33.12.219 > DNSIP: ICMP 10.33.12.219 udp port 51024 unreachable, length 52<u></u><u></u></p><p class="MsoNormal">….<u></u><u></u></p><p class="MsoNormal">Example: 10.151.130.74 (client source IP)<u></u><u></u></p><p class="MsoNormal">DNSIP: DNSServer IP<u></u><u></u></p><p class="MsoNormal"><u></u> </p></div></div></blockquote><div><br></div><div>Your description is either incomplete, or incorrect (or at least sine set of things is misconfigured) -- without additional information it will be difficult / impossible to assist.</div><div><br></div><div>1: You state that you observe traffic while running tcpdump **on the caching server**.</div><div>2: You state that "<span style="font-size:13px;line-height:19.5px">ICMP is not allowed from outside **to** DNS server" (emphasis mine) - this implies that ICMP is supposed to be filtered before reaching the server, not e.g iptables *on the server*.</span></div><div><span style="font-size:13px;line-height:19.5px">3: The tcpdump output shows traffic from client IPs (presumably "outside") to the DNS server. </span></div><div><span style="font-size:13px;line-height:19.5px"><br></span></div><div><span style="line-height:19.5px">I do not see how all of the above can simultaneously be true</span></div><div><span style="line-height:19.5px">A: What are the actual IPs involved?</span></div><div><span style="line-height:19.5px">B: What are you counting as "outside" (are the client IPs "inside" or "outside"?)?. </span></div><div><span style="line-height:19.5px">C: Where are you filtering the ICMP, and, more importantly, why are you filtering ICMP (it is needed to make IP work properly...)</span></div><div><span style="line-height:19.5px">D: How busy is the server / what percentage of ICMP responses to DNS queries? </span></div><div><span style="line-height:19.5px">E: What is the connectivity of the server? It is likely that resolutions are taking significant time, and the clients have a: given up or b: already gotten the replies from another recursive?</span></div><div><span style="line-height:19.5px"><br></span></div><div><span style="line-height:19.5px"><br></span></div><div>This could be an attack (e.g spoofed packets as part of a cache poisoning attempt).... or it could be perfectly normal operation -- eliding the IP addresses and not providing more information makes it imposs^W hard to tell....</div><div><br></div><div>W</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><u></u></p><p class="MsoNormal">Regards<u></u><u></u></p><p class="MsoNormal">Daniel<u></u><u></u></p></div></div>_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a></blockquote></div></div>