[dns-esp] Ataque a mis DNS
Carlos M. Martinez
carlosm3011 en gmail.com
Vie Jun 1 12:27:43 CLT 2012
Ah correcto :-) Efectivamente, es un punto interesante.
Alguno tiene cifras para compartir? paquetes por segundo, queries por
segundo, cantidad de IPs que estan detectando ?
s2
Carlos
On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
> lo se, me refiero a que, no ha sido tragico ( por el tamano de los
> paquetes )
>
> Salu2
>
> On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
>> Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una
>> herramienta para _otro_ tipo de amenazas.
>>
>> s2
>>
>> Carlos
>>
>> On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
>>> Estimados,
>>>
>>> aca en la Universidad de chile estamos empezando a ver los
>>> coletasos de
>>> estas botnets
>>>
>>> estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente
>>> es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
>>>
>>> aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo
>>> paquetes mayores al estandar, por lo que no ha sido tragico.
>>>
>>> aun estamos tratando de verificar si es trafico saliente o entrante los
>>> mantendre informados, y de ser saliente, solicitare a los organismos
>>> que
>>> auditen las maquinas y de ser posible obtener imagenes de los discos.
>>>
>>> Saludos.
>>>
>>>
>>>
>>>
>>> On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
>>>> Excelente. Me gusta esa idea.
>>>>
>>>> Les agradezco a todos la ayuda. Los mantendré informados.
>>>>
>>>> Saludos a todos,
>>>> Francisco Vargas Piedra
>>>>
>>>> -----Mensaje original-----
>>>> De: dns-esp-bounces en listas.nic.cl
>>>> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel Doren
>>>> Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
>>>> Para: DNS en español
>>>> Asunto: Re: [dns-esp] Ataque a mis DNS
>>>>
>>>>> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>>>>> '|0000FF0001|' -m recent --set --name dnsanyquery
>>>>>
>>>>> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>>>>> '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60
>>>>> --hitcount 5 -j DROP
>>>>>
>>>>> Estamos planeando implementar estas reglas para denegar el ataque
>>>>> en caso de que se reactive el botnet; entonces preciso tener
>>>>> bastante retroalimentación para no afectar a nuestros clientes con
>>>>> las reglas que vayamos a incluir.
>>>> yo pondría las reglas comentadas en el firewall (para activarlas
>>>> rápido )y por mientras solamente loguearia a los que hagan más de n
>>>> peticiones por segundo, así conoces el comportamiento normal de la
>>>> red, lo que básico para determinar cuando se convierte en anormal.
>>>> _______________________________________________
>>>> dns-esp mailing list
>>>> dns-esp en listas.nic.cl
>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>>> _______________________________________________
>>>> dns-esp mailing list
>>>> dns-esp en listas.nic.cl
>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>> _______________________________________________
>>> dns-esp mailing list
>>> dns-esp en listas.nic.cl
>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>
Más información sobre la lista de distribución dns-esp