Trend med ANY frågor
Hejsan, Innan Påsken men även under “påsklovet” har det kommit lite vågor av främst ANY-frågor mot diverse domäner inom vår sektor (dock helt oberoende av varandra). Vi har dock inte sett något hot eller skryt kring de domänerna de skjutit mot... Någon annan som sett någon liknande? Och hur pass vanligt är det med “större” DNS-attacker nuförtiden? Alla moderna DNS-implementationer har ju ratelimiting som standard, så lite förvånande att se de ens försöker/trugar, även fast de blir blockerade. Mvh, /P
On 4/13/26 06:00, Fredrik Pettai via Ns.se wrote:
Innan Påsken men även under “påsklovet” har det kommit lite vågor av främst ANY-frågor mot diverse domäner inom vår sektor (dock helt oberoende av varandra). Vi har dock inte sett något hot eller skryt kring de domänerna de skjutit mot...
Någon annan som sett någon liknande? Och hur pass vanligt är det med “större” DNS-attacker nuförtiden? Alla moderna DNS-implementationer har ju ratelimiting som standard, så lite förvånande att se de ens försöker/trugar, även fast de blir blockerade.
Yepp, det har varit snack om DDoS kampanjer från Sydamerika på OARC's Mattermost:
damian 2 weeks ago
Quick explanation of the traffic increase everyone saw: Someone in Brazil launched DNS-amplification attacks against 3 ISPs in Brazil, reflecting off open DNS servers around the world. The "new" thing is that rather than reflecting with a single record (eg, isc.org./ANY) they used ~3600 domains in the attack. This was noticed fairly broadly as a sharp increase in ANY queries, both by recursives and authoritatives. In addition to the examples people posted above, Cloudflare's stats also show it (look at the percentage of ANY queries): https://radar.cloudflare.com/dns?dateRange=7d
https://chat.dns-oarc.net/community/pl/7umdgsesx7b1xq8oiq8rmfh3fc Damian jobbar på Google. /Jerry Ps, vår Mattermost är öppen för alla, gå till https://chat.dns-oarc.net och skapa konto bara.
På kurserna i DNS på KTH och KAU använder jag ANY-frågor för att framkalla stora svar. Det är kanske våra studenter som testar? 😊 Men det är enda användningen av ANY som jag kan se. Jag undrar varför frågetypen skapades från början. Mats --- Mats Dufberg mats.dufberg@internetstiftelsen.se<mailto:mats.dufberg@internetstiftelsen.se> Technical Expert Internetstiftelsen (The Swedish Internet Foundation) Mobile: +46 73 065 3899 https://internetstiftelsen.se/ From: Fredrik Pettai via Ns.se <ns.se@lists.iis.se> Date: Monday, 13 April 2026 at 08:02 To: ns.se@lists.iis.se <ns.se@lists.iis.se> Subject: [Ns.se] Trend med ANY frågor Hejsan, Innan Påsken men även under “påsklovet” har det kommit lite vågor av främst ANY-frågor mot diverse domäner inom vår sektor (dock helt oberoende av varandra). Vi har dock inte sett något hot eller skryt kring de domänerna de skjutit mot... Någon annan som sett någon liknande? Och hur pass vanligt är det med “större” DNS-attacker nuförtiden? Alla moderna DNS-implementationer har ju ratelimiting som standard, så lite förvånande att se de ens försöker/trugar, även fast de blir blockerade. Mvh, /P
Om dina studenter lyckas generera 10-tusentals frågor i sekunden, och skickat från både sydamerikanska & asiatiska adresser (både IPv4 + IPv6 samt över UDP & TCP), så kan det vara dem. (så njae på den) (KTH & KAU har inte tillhört de drabbade domännamnsinnehavarna vad jag vet) ________________________________ From: Mats Dufberg <mats.dufberg@internetstiftelsen.se> Sent: Monday, 13 April 2026 09:25 To: Fredrik Pettai <pettai@sunet.se>; ns.se@lists.iis.se <ns.se@lists.iis.se> Subject: Re: [Ns.se] Trend med ANY frågor På kurserna i DNS på KTH och KAU använder jag ANY-frågor för att framkalla stora svar. Det är kanske våra studenter som testar? 😊 Men det är enda användningen av ANY som jag kan se. Jag undrar varför frågetypen skapades från början. Mats --- Mats Dufberg mats.dufberg@internetstiftelsen.se<mailto:mats.dufberg@internetstiftelsen.se> Technical Expert Internetstiftelsen (The Swedish Internet Foundation) Mobile: +46 73 065 3899 https://internetstiftelsen.se/ From: Fredrik Pettai via Ns.se <ns.se@lists.iis.se> Date: Monday, 13 April 2026 at 08:02 To: ns.se@lists.iis.se <ns.se@lists.iis.se> Subject: [Ns.se] Trend med ANY frågor Hejsan, Innan Påsken men även under “påsklovet” har det kommit lite vågor av främst ANY-frågor mot diverse domäner inom vår sektor (dock helt oberoende av varandra). Vi har dock inte sett något hot eller skryt kring de domänerna de skjutit mot... Någon annan som sett någon liknande? Och hur pass vanligt är det med “större” DNS-attacker nuförtiden? Alla moderna DNS-implementationer har ju ratelimiting som standard, så lite förvånande att se de ens försöker/trugar, även fast de blir blockerade. Mvh, /P
Varför ligger jag med på denna sändlistan? Med vänlig hälsning _______________________________________________________ Douglas Klang Informationssäkerhetsspecialist Signalskyddschef Telefon: 070-170 72 99 E-post: Douglas.Klang@regionhalland.se Besöksadress: Nymansgatan 16, 302 33 Halmstad www.regionhalland.se Boka tid för att träffa mig -----Ursprungligt meddelande----- Från: Fredrik Pettai via Ns.se <ns.se@lists.iis.se> Skickat: den 13 april 2026 09:52 Till: Mats Dufberg <mats.dufberg@internetstiftelsen.se>; ns.se@lists.iis.se Ämne: [Ns.se] Re: Trend med ANY frågor Du får inte ofta e-post från ns.se@lists.iis.se. Läs om varför det här är viktigt <https://aka.ms/LearnAboutSenderIdentification> Om dina studenter lyckas generera 10-tusentals frågor i sekunden, och skickat från både sydamerikanska & asiatiska adresser (både IPv4 + IPv6 samt över UDP & TCP), så kan det vara dem. (så njae på den) (KTH & KAU har inte tillhört de drabbade domännamnsinnehavarna vad jag vet) ________________________________ From: Mats Dufberg <mats.dufberg@internetstiftelsen.se> Sent: Monday, 13 April 2026 09:25 To: Fredrik Pettai <pettai@sunet.se>; ns.se@lists.iis.se <ns.se@lists.iis.se> Subject: Re: [Ns.se] Trend med ANY frågor På kurserna i DNS på KTH och KAU använder jag ANY-frågor för att framkalla stora svar. Det är kanske våra studenter som testar? 😊 Men det är enda användningen av ANY som jag kan se. Jag undrar varför frågetypen skapades från början. Mats --- Mats Dufberg mats.dufberg@internetstiftelsen.se <mailto:mats.dufberg@internetstiftelsen.se> Technical Expert Internetstiftelsen (The Swedish Internet Foundation) Mobile: +46 73 065 3899 https://internetstiftelsen.se/ From: Fredrik Pettai via Ns.se <ns.se@lists.iis.se> Date: Monday, 13 April 2026 at 08:02 To: ns.se@lists.iis.se <ns.se@lists.iis.se> Subject: [Ns.se] Trend med ANY frågor Hejsan, Innan Påsken men även under “påsklovet” har det kommit lite vågor av främst ANY-frågor mot diverse domäner inom vår sektor (dock helt oberoende av varandra). Vi har dock inte sett något hot eller skryt kring de domänerna de skjutit mot... Någon annan som sett någon liknande? Och hur pass vanligt är det med “större” DNS-attacker nuförtiden? Alla moderna DNS-implementationer har ju ratelimiting som standard, så lite förvånande att se de ens försöker/trugar, även fast de blir blockerade. Mvh, /P
participants (4)
-
Fredrik Pettai -
Jerry Lundström -
Klang Douglas RK -
Mats Dufberg