[dns-esp] Ataque a mis DNS

Francisco Vargas Piedra f.vargas en cabletica.com
Vie Jun 1 12:29:05 CLT 2012


Buenos días,

Acá en Costa Rica mitigamos el ataque utilizando IPTABLES con las siguientes reglas:

sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsquery
sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j DROP
sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j LOG --log-prefix "ATACANTE- " --log-level 4

La última línea la utilizamos para tener logs en syslog marcados con "ATACANTE" y poder encontrarlos fácilmente con grep.

Evidentemente esto sólo detendrá que las peticiones lleguen al servicio de DNS. En nuestro caso hemos ido contactando a los clientes y al parecer corriendo antivirus (aún no precisamos cuál) se ha ido eliminando el botnet.

Los mantendré al tanto. Agradecería cualquier retroalimentación.

Saludos,
Francisco Vargas Piedra


-----Mensaje original-----
De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Nelson Lopez V.
Enviado el: viernes, 01 de junio de 2012 10:18 a.m.
Para: dns-esp en listas.nic.cl
Asunto: Re: [dns-esp] Ataque a mis DNS

Estimados,

aca en la Universidad de chile estamos empezando a ver los coletasos  de estas botnets

estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.

aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.

aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas  y de ser posible  obtener imagenes de los discos.

Saludos.




On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
> Excelente. Me gusta esa idea.
>
> Les agradezco a todos la ayuda. Los mantendré informados.
>
> Saludos a todos,
> Francisco Vargas Piedra
>
> -----Mensaje original-----
> De: dns-esp-bounces en listas.nic.cl 
> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
> Para: DNS en español
> Asunto: Re: [dns-esp] Ataque a mis DNS
>
>>   -p udp --dport 53 -m string --from 50 --algo bm --hex-string 
>> '|0000FF0001|' -m recent --set --name dnsanyquery
>>
>>   -p udp --dport 53 -m string --from 50 --algo bm --hex-string 
>> '|0000FF0001|'  -m recent --name dnsanyquery --rcheck --seconds 60 
>> --hitcount 5 -j DROP
>>
>> Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
>
> yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal.
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp


Más información sobre la lista de distribución dns-esp