[dns-esp] Ataque a mis DNS

Alex Ojeda alex.ojeda en indexa.cl
Vie Jun 1 12:49:26 CLT 2012 

No entren en pánico... :)
Creo que este tema recién está viendo cómo salir a flote... Me refiero a que puede ser parte de un ataque de mayor magnitud y solo recién se estén haciendo pruebas...
Deben estar identificando targets y creando algunas db con data.

Me llegan más requerimiento por consulta PTR por mis segmentos IP, que con este 'ataque' :B





Alex Ojeda Mercado.
Administrador de Red
Rosal 331, Piso 2, Santiago, Chile
Fono: + 56 2 345 86 00
Mail: alex.ojeda en indexa.cl 



Cuidemos el Medio Ambiente
Evitemos imprimir demás

CONFIDENCIALIDAD: La información contenida en este mensaje y/o en los archivos adjuntos es de carácter confidencial o privilegiada y está destinada al uso exclusivo del emisor y/o de la persona o entidad a quien va dirigida. Si usted no es el destinatario, cualquier almacenamiento, divulgación, distribución o copia de esta información está estrictamente prohibida y sancionada por la ley. Si recibió este mensaje por error, por favor infórmenos inmediatamente respondiendo este mismo mensaje y borre éste y todos los archivos adjuntos. Gracias.
 
CONFIDENTIAL: The information transmitted in this message and/or attachments is confidential and/or privileged and is intented only for use of the person or entity to whom it is addressed. If you are not the intended recipient, any retention, dissemination, distribution or copy of this information is strictly prohibited and sanctioned by law. If you received this message in error, please reply us this same message and delete this message and all attachments. Thank you.

-----Mensaje original-----
De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Francisco Vargas Piedra
Enviado el: viernes, 01 de junio de 2012 12:29
Para: DNS en español
Asunto: Re: [dns-esp] Ataque a mis DNS

Buenos días,

Acá en Costa Rica mitigamos el ataque utilizando IPTABLES con las siguientes reglas:

sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsquery
sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j DROP
sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j LOG --log-prefix "ATACANTE- " --log-level 4

La última línea la utilizamos para tener logs en syslog marcados con "ATACANTE" y poder encontrarlos fácilmente con grep.

Evidentemente esto sólo detendrá que las peticiones lleguen al servicio de DNS. En nuestro caso hemos ido contactando a los clientes y al parecer corriendo antivirus (aún no precisamos cuál) se ha ido eliminando el botnet.

Los mantendré al tanto. Agradecería cualquier retroalimentación.

Saludos,
Francisco Vargas Piedra


-----Mensaje original-----
De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Nelson Lopez V.
Enviado el: viernes, 01 de junio de 2012 10:18 a.m.
Para: dns-esp en listas.nic.cl
Asunto: Re: [dns-esp] Ataque a mis DNS

Estimados,

aca en la Universidad de chile estamos empezando a ver los coletasos  de estas botnets

estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.

aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.

aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas  y de ser posible  obtener imagenes de los discos.

Saludos.




On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
> Excelente. Me gusta esa idea.
>
> Les agradezco a todos la ayuda. Los mantendré informados.
>
> Saludos a todos,
> Francisco Vargas Piedra
>
> -----Mensaje original-----
> De: dns-esp-bounces en listas.nic.cl 
> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
> Para: DNS en español
> Asunto: Re: [dns-esp] Ataque a mis DNS
>
>>   -p udp --dport 53 -m string --from 50 --algo bm --hex-string 
>> '|0000FF0001|' -m recent --set --name dnsanyquery
>>
>>   -p udp --dport 53 -m string --from 50 --algo bm --hex-string 
>> '|0000FF0001|'  -m recent --name dnsanyquery --rcheck --seconds 60 
>> --hitcount 5 -j DROP
>>
>> Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
>
> yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal.
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp

Más información sobre la lista de distribución dns-esp