[dns-esp] Ataque a mis DNS

Nelson Lopez V. tuxero en gmail.com
Vie Jun 1 13:33:31 CLT 2012


Estimados aporto con  granitos de arena en estadisticas

*Date flow start* 	*
* 	*Duration* 	*Proto* 	*Src IP Addr:Port* 	*
* 	*Dst IP Addr:Port* 	*Packets * 	*Bytes* 	*Flows*
6/1/2012 	08:25:34.409 	902,272 	UDP 	46.249.48.59:53 	-> 
XXX.XXX.XXX.XXX:53 	11.0 M 	724.9 M 	1
6/1/2012 	08:25:34.409 	902,272 	UDP 	46.249.48.59:53 	-> 
XXX.XXX.XXX.XXX:53 	11.0 M 	724.8 M 	1
6/1/2012 	08:31:56.100 	904,832 	UDP 	46.249.48.59:53 	-> 
XXX.XXX.XXX.XXX:53 	48383 	3.2 M 	1
6/1/2012 	08:31:56.100 	904,832 	UDP 	46.249.48.59:53 	-> 
XXX.XXX.XXX.XXX:53 	31353 	2.1 M 	1
6/1/2012 	08:31:56.164 	904,896 	UDP 	46.249.48.59:53 	-> 
XXX.XXX.XXX.XXX:53 	48406 	3.2 M 	1
6/1/2012 	08:31:56.099 	904,960 	UDP 	46.249.48.59:53 	-> 
XXX.XXX.XXX.XXX:53 	48387 	3.2 M 	1
6/1/2012 	08:31:56.099 	904,960 	UDP 	46.249.48.59:53 	-> 
XXX.XXX.XXX.XXX:53 	48414 	3.2 M 	1
6/1/2012 	08:31:56.163 	904,768 	UDP 	46.249.48.59:53 	-> 
XXX.XXX.XXX.XXX:53 	48375 	3.2 M 	1



Sigo reuniendo Info


On 06/01/2012 01:20 PM, Francisco Vargas Piedra wrote:
> La cantidad de direcciones IP que nos atacaron inicialmente se han reducido sustancialmente; sin embargo, la mayoría de clientes han sido notificados para que utilizaran antivirus o revisaran sus computadoras. Eso me hace pensar que el botnet sí se puede erradicar con algunas de las herramientas actuales.
>
> Los mantendré con retroalimentación.
>
> Saludos,
> Francisco Vargas Piedra
>
> -----Mensaje original-----
> De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Pablo Jiménez
> Enviado el: viernes, 01 de junio de 2012 10:57 a.m.
> Para: dns-esp en listas.nic.cl
> Asunto: Re: [dns-esp] Ataque a mis DNS
>
> Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.
>
> Saludos.
>
> On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:
>> Ah correcto :-) Efectivamente, es un punto interesante.
>>
>> Alguno tiene cifras para compartir? paquetes por segundo, queries por
>> segundo, cantidad de IPs que estan detectando ?
>>
>> s2
>>
>> Carlos
>>
>> On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
>>> lo se, me refiero a que, no ha sido tragico ( por el tamano de los
>>> paquetes )
>>>
>>> Salu2
>>>
>>> On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
>>>> Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es
>>>> una herramienta para _otro_ tipo de amenazas.
>>>>
>>>> s2
>>>>
>>>> Carlos
>>>>
>>>> On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
>>>>> Estimados,
>>>>>
>>>>> aca en la Universidad de chile estamos empezando a ver los
>>>>> coletasos  de estas botnets
>>>>>
>>>>> estamos viendo conexiones desde la IP 46.249.48.59 que
>>>>> coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
>>>>>
>>>>> aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo
>>>>> paquetes mayores al estandar, por lo que no ha sido tragico.
>>>>>
>>>>> aun estamos tratando de verificar si es trafico saliente o
>>>>> entrante los mantendre informados, y de ser saliente, solicitare a
>>>>> los organismos que auditen las maquinas  y de ser posible  obtener
>>>>> imagenes de los discos.
>>>>>
>>>>> Saludos.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
>>>>>> Excelente. Me gusta esa idea.
>>>>>>
>>>>>> Les agradezco a todos la ayuda. Los mantendré informados.
>>>>>>
>>>>>> Saludos a todos,
>>>>>> Francisco Vargas Piedra
>>>>>>
>>>>>> -----Mensaje original-----
>>>>>> De: dns-esp-bounces en listas.nic.cl
>>>>>> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel
>>>>>> Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
>>>>>> Para: DNS en español
>>>>>> Asunto: Re: [dns-esp] Ataque a mis DNS
>>>>>>
>>>>>>>     -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>>>>>>> '|0000FF0001|' -m recent --set --name dnsanyquery
>>>>>>>
>>>>>>>     -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>>>>>>> '|0000FF0001|'  -m recent --name dnsanyquery --rcheck --seconds
>>>>>>> 60 --hitcount 5 -j DROP
>>>>>>>
>>>>>>> Estamos planeando implementar estas reglas para denegar el
>>>>>>> ataque en caso de que se reactive el botnet; entonces preciso
>>>>>>> tener bastante retroalimentación para no afectar a nuestros
>>>>>>> clientes con las reglas que vayamos a incluir.
>>>>>> yo pondría las reglas comentadas en el firewall (para activarlas
>>>>>> rápido )y por mientras solamente loguearia a los que hagan más de
>>>>>> n peticiones por segundo, así conoces el comportamiento normal de
>>>>>> la red, lo que básico para determinar cuando se convierte en anormal.
>>>>>> _______________________________________________
>>>>>> dns-esp mailing list
>>>>>> dns-esp en listas.nic.cl
>>>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>>>>> _______________________________________________
>>>>>> dns-esp mailing list
>>>>>> dns-esp en listas.nic.cl
>>>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>>>> _______________________________________________
>>>>> dns-esp mailing list
>>>>> dns-esp en listas.nic.cl
>>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
> --
> Pablo Jiménez
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20120601/6753dc26/attachment-0001.html 


Más información sobre la lista de distribución dns-esp