[dns-esp] Ataque a mis DNS

Pablo Jiménez pejimene en vtr.net
Vie Jun 1 12:57:11 CLT 2012 

Por lo menos acá, los gráficos de monitoreo de los resolvers nos
indican que la actividad anómala se reinició ayer a las 19.30h
(hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más 
notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno 
de los resolvers me indican actualmente 4500qps y ayer a esta misma 
hora, eran alrededor de 3100qps ó 3200qps.

Saludos.

On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:
> Ah correcto :-) Efectivamente, es un punto interesante.
> 
> Alguno tiene cifras para compartir? paquetes por segundo, queries por
> segundo, cantidad de IPs que estan detectando ?
> 
> s2
> 
> Carlos
> 
> On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
> > lo se, me refiero a que, no ha sido tragico ( por el tamano de los
> > paquetes )
> >
> > Salu2
> >
> > On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
> >> Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una
> >> herramienta para _otro_ tipo de amenazas.
> >>
> >> s2
> >>
> >> Carlos
> >>
> >> On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
> >>> Estimados,
> >>>
> >>> aca en la Universidad de chile estamos empezando a ver los
> >>> coletasos  de
> >>> estas botnets
> >>>
> >>> estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente
> >>> es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
> >>>
> >>> aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo
> >>> paquetes mayores al estandar, por lo que no ha sido tragico.
> >>>
> >>> aun estamos tratando de verificar si es trafico saliente o entrante los
> >>> mantendre informados, y de ser saliente, solicitare a los organismos
> >>> que
> >>> auditen las maquinas  y de ser posible  obtener imagenes de los discos.
> >>>
> >>> Saludos.
> >>>
> >>>
> >>>
> >>>
> >>> On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
> >>>> Excelente. Me gusta esa idea.
> >>>>
> >>>> Les agradezco a todos la ayuda. Los mantendré informados.
> >>>>
> >>>> Saludos a todos,
> >>>> Francisco Vargas Piedra
> >>>>
> >>>> -----Mensaje original-----
> >>>> De: dns-esp-bounces en listas.nic.cl
> >>>> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel Doren
> >>>> Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
> >>>> Para: DNS en español
> >>>> Asunto: Re: [dns-esp] Ataque a mis DNS
> >>>>
> >>>>>    -p udp --dport 53 -m string --from 50 --algo bm --hex-string
> >>>>> '|0000FF0001|' -m recent --set --name dnsanyquery
> >>>>>
> >>>>>    -p udp --dport 53 -m string --from 50 --algo bm --hex-string
> >>>>> '|0000FF0001|'  -m recent --name dnsanyquery --rcheck --seconds 60
> >>>>> --hitcount 5 -j DROP
> >>>>>
> >>>>> Estamos planeando implementar estas reglas para denegar el ataque
> >>>>> en caso de que se reactive el botnet; entonces preciso tener
> >>>>> bastante retroalimentación para no afectar a nuestros clientes con
> >>>>> las reglas que vayamos a incluir.
> >>>> yo pondría las reglas comentadas en el firewall (para activarlas
> >>>> rápido )y por mientras solamente loguearia a los que hagan más de n
> >>>> peticiones por segundo, así conoces el comportamiento normal de la
> >>>> red, lo que básico para determinar cuando se convierte en anormal.
> >>>> _______________________________________________
> >>>> dns-esp mailing list
> >>>> dns-esp en listas.nic.cl
> >>>> https://listas.nic.cl/mailman/listinfo/dns-esp
> >>>> _______________________________________________
> >>>> dns-esp mailing list
> >>>> dns-esp en listas.nic.cl
> >>>> https://listas.nic.cl/mailman/listinfo/dns-esp
> >>> _______________________________________________
> >>> dns-esp mailing list
> >>> dns-esp en listas.nic.cl
> >>> https://listas.nic.cl/mailman/listinfo/dns-esp
> >
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

-- 
Pablo Jiménez

Más información sobre la lista de distribución dns-esp