[dns-esp] Ataque a mis DNS
Francisco Vargas Piedra
f.vargas en cabletica.com
Lun Jun 4 10:56:17 CLT 2012
Nosotros hemos percibido menos tráfico ANY de los botnets que infectaron nuestra red. Por el momento la solución de las reglas de IPTABLES que comenté la semana pasada nos han funcionado excelente y no han habido quejas en el servicio que brindamos.
Saludos,
Francisco Vargas Piedra
-----Mensaje original-----
De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Yonathan Dossow
Enviado el: lunes, 04 de junio de 2012 08:53 a.m.
Para: DNS en español
Asunto: Re: [dns-esp] Ataque a mis DNS
Estimados
Por aca en la utfsm estamos viendo queries ANY hacia el dominio aca.cl, las IP del log son todas (o casi) de china.
saludos
----- Original Message -----
From: "Nelson Lopez V." <tuxero en gmail.com>
To: dns-esp en listas.nic.cl
Sent: Friday, June 1, 2012 12:17:31 PM
Subject: Re: [dns-esp] Ataque a mis DNS
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
> Excelente. Me gusta esa idea.
>
> Les agradezco a todos la ayuda. Los mantendré informados.
>
> Saludos a todos,
> Francisco Vargas Piedra
>
> -----Mensaje original-----
> De: dns-esp-bounces en listas.nic.cl
> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
> Para: DNS en español
> Asunto: Re: [dns-esp] Ataque a mis DNS
>
>> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>> '|0000FF0001|' -m recent --set --name dnsanyquery
>>
>> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
>> '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60
>> --hitcount 5 -j DROP
>>
>> Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
>
> yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal.
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
--
Yonathan Dossow Unidad de Servicios de Computacion e Internet
Universidad Tecnica Federico Santa Maria Fono: +56 32 2654367
Valparaiso, Chile
_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
Más información sobre la lista de distribución dns-esp