[dns-esp] Ataque a mis DNS
Nelson Lopez V.
tuxero en gmail.com
Vie Jun 1 13:33:31 CLT 2012
Estimados aporto con granitos de arena en estadisticas
*Date flow start* *
* *Duration* *Proto* *Src IP Addr:Port* *
* *Dst IP Addr:Port* *Packets * *Bytes* *Flows*
6/1/2012 08:25:34.409 902,272 UDP 46.249.48.59:53 ->
XXX.XXX.XXX.XXX:53 11.0 M 724.9 M 1
6/1/2012 08:25:34.409 902,272 UDP 46.249.48.59:53 ->
XXX.XXX.XXX.XXX:53 11.0 M 724.8 M 1
6/1/2012 08:31:56.100 904,832 UDP 46.249.48.59:53 ->
XXX.XXX.XXX.XXX:53 48383 3.2 M 1
6/1/2012 08:31:56.100 904,832 UDP 46.249.48.59:53 ->
XXX.XXX.XXX.XXX:53 31353 2.1 M 1
6/1/2012 08:31:56.164 904,896 UDP 46.249.48.59:53 ->
XXX.XXX.XXX.XXX:53 48406 3.2 M 1
6/1/2012 08:31:56.099 904,960 UDP 46.249.48.59:53 ->
XXX.XXX.XXX.XXX:53 48387 3.2 M 1
6/1/2012 08:31:56.099 904,960 UDP 46.249.48.59:53 ->
XXX.XXX.XXX.XXX:53 48414 3.2 M 1
6/1/2012 08:31:56.163 904,768 UDP 46.249.48.59:53 ->
XXX.XXX.XXX.XXX:53 48375 3.2 M 1
Sigo reuniendo Info
On 06/01/2012 01:20 PM, Francisco Vargas Piedra wrote:
> La cantidad de direcciones IP que nos atacaron inicialmente se han reducido sustancialmente; sin embargo, la mayoría de clientes han sido notificados para que utilizaran antivirus o revisaran sus computadoras. Eso me hace pensar que el botnet sí se puede erradicar con algunas de las herramientas actuales.
>
> Los mantendré con retroalimentación.
>
> Saludos,
> Francisco Vargas Piedra
>
> -----Mensaje original-----
> De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Pablo Jiménez
> Enviado el: viernes, 01 de junio de 2012 10:57 a.m.
> Para: dns-esp en listas.nic.cl
> Asunto: Re: [dns-esp] Ataque a mis DNS
>
> Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.
>
> Saludos.
>
> On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:
>> Ah correcto :-) Efectivamente, es un punto interesante.
>>
>> Alguno tiene cifras para compartir? paquetes por segundo, queries por
>> segundo, cantidad de IPs que estan detectando ?
>>
>> s2
>>
>> Carlos
>>
>> On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
>>> lo se, me refiero a que, no ha sido tragico ( por el tamano de los
>>> paquetes )
>>>
>>> Salu2
>>>
>>> On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
>>>> Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es
>>>> una herramienta para _otro_ tipo de amenazas.
>>>>
>>>> s2
>>>>
>>>> Carlos
>>>>
>>>> On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
>>>>> Estimados,
>>>>>
>>>>> aca en la Universidad de chile estamos empezando a ver los
>>>>> coletasos de estas botnets
>>>>>
>>>>> estamos viendo conexiones desde la IP 46.249.48.59 que
>>>>> coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
>>>>>
>>>>> aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo
>>>>> paquetes mayores al estandar, por lo que no ha sido tragico.
>>>>>
>>>>> aun estamos tratando de verificar si es trafico saliente o
>>>>> entrante los mantendre informados, y de ser saliente, solicitare a
>>>>> los organismos que auditen las maquinas y de ser posible obtener
>>>>> imagenes de los discos.
>>>>>
>>>>> Saludos.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
>>>>>> Excelente. Me gusta esa idea.
>>>>>>
>>>>>> Les agradezco a todos la ayuda. Los mantendré informados.
>>>>>>
>>>>>> Saludos a todos,
>>>>>> Francisco Vargas Piedra
>>>>>>
>>>>>> -----Mensaje original-----
>>>>>> De: dns-esp-bounces en listas.nic.cl
>>>>>> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel
>>>>>> Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
>>>>>> Para: DNS en español
>>>>>> Asunto: Re: [dns-esp] Ataque a mis DNS
>>>>>>
>>>>>>> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>>>>>>> '|0000FF0001|' -m recent --set --name dnsanyquery
>>>>>>>
>>>>>>> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>>>>>>> '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds
>>>>>>> 60 --hitcount 5 -j DROP
>>>>>>>
>>>>>>> Estamos planeando implementar estas reglas para denegar el
>>>>>>> ataque en caso de que se reactive el botnet; entonces preciso
>>>>>>> tener bastante retroalimentación para no afectar a nuestros
>>>>>>> clientes con las reglas que vayamos a incluir.
>>>>>> yo pondría las reglas comentadas en el firewall (para activarlas
>>>>>> rápido )y por mientras solamente loguearia a los que hagan más de
>>>>>> n peticiones por segundo, así conoces el comportamiento normal de
>>>>>> la red, lo que básico para determinar cuando se convierte en anormal.
>>>>>> _______________________________________________
>>>>>> dns-esp mailing list
>>>>>> dns-esp en listas.nic.cl
>>>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>>>>> _______________________________________________
>>>>>> dns-esp mailing list
>>>>>> dns-esp en listas.nic.cl
>>>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>>>> _______________________________________________
>>>>> dns-esp mailing list
>>>>> dns-esp en listas.nic.cl
>>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
> --
> Pablo Jiménez
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20120601/6753dc26/attachment-0001.html
Más información sobre la lista de distribución dns-esp