[dns-esp] Ataque a mis DNS

Francisco Vargas Piedra f.vargas en cabletica.com
Jue Mayo 31 16:31:13 CLT 2012


Buenas tardes,

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes.  Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN<http://ripe.net/ANY/IN>' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN<http://ripe.net/ANY/IN>' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos,
Ing. Francisco Vargas
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20120531/034e9e32/attachment.html 


Más información sobre la lista de distribución dns-esp