[dns-esp] Ataque a mis DNS

Nelson Lopez V. tuxero en gmail.com
Vie Jun 1 12:26:42 CLT 2012 

lo se, me refiero a que, no ha sido tragico ( por el tamano de los 
paquetes )

Salu2

On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
> Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una
> herramienta para _otro_ tipo de amenazas.
>
> s2
>
> Carlos
>
> On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
>> Estimados,
>>
>> aca en la Universidad de chile estamos empezando a ver los coletasos  de
>> estas botnets
>>
>> estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente
>> es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
>>
>> aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo
>> paquetes mayores al estandar, por lo que no ha sido tragico.
>>
>> aun estamos tratando de verificar si es trafico saliente o entrante los
>> mantendre informados, y de ser saliente, solicitare a los organismos que
>> auditen las maquinas  y de ser posible  obtener imagenes de los discos.
>>
>> Saludos.
>>
>>
>>
>>
>> On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
>>> Excelente. Me gusta esa idea.
>>>
>>> Les agradezco a todos la ayuda. Los mantendré informados.
>>>
>>> Saludos a todos,
>>> Francisco Vargas Piedra
>>>
>>> -----Mensaje original-----
>>> De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel Doren
>>> Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
>>> Para: DNS en español
>>> Asunto: Re: [dns-esp] Ataque a mis DNS
>>>
>>>>    -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>>>> '|0000FF0001|' -m recent --set --name dnsanyquery
>>>>
>>>>    -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>>>> '|0000FF0001|'  -m recent --name dnsanyquery --rcheck --seconds 60
>>>> --hitcount 5 -j DROP
>>>>
>>>> Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
>>> yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal.
>>> _______________________________________________
>>> dns-esp mailing list
>>> dns-esp en listas.nic.cl
>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>> _______________________________________________
>>> dns-esp mailing list
>>> dns-esp en listas.nic.cl
>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp

Más información sobre la lista de distribución dns-esp