[dns-esp] Ataque a mis DNS

Carlos M. Martinez carlosm3011 en gmail.com
Jue Mayo 31 16:42:27 CLT 2012 

Hola Francisco,

entiendo que las consultas de esta supuesta botnet llegan a tus DNS
recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia
tus recursivos y permitir unicamente el que viene de tus redes ?

No me refiero a denegar la recursion en BIND sino a filtrar
completamente el trafico, de tal manera que no cargue al servidor.

s2

Carlos

On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote:
>
> Buenas tardes,
>
>  
>
> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de
> cable. Estoy encargado de la administración de los DNS.
>
>  
>
> He recibido un ataque que consistió en la saturación de mis servidores
> a través de peticiones a "ripe.net". Parece ser una especie de botnet
> que se propagó por varios CPUs (108 direcciones IP consultaban
> desmedidamente hacia ese dominio) de nuestros clientes.  Mis DNSs
> están configurados con Bind y la plataforma sólo responde a las
> direcciones IP de nuestros clientes.
>
>  
>
> ¿Alguien sabe de algún virus que pueda causar este tipo de problemas?
> Otro punto importante es que se activó en el mismo momento; es decir,
> parece que el botnet pudo haber sido activado a través de un C&C.
>
>  
>
> Justo antes del ataque logré capturar esta petición sospechosa (que
> fue denegada):
>
> May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query
> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>
> May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query
> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>
> Además las peticiones que inundaron mis servidores eran de la
> siguiente forma (elimino la dirección IP por no ser de interés):
>
>  
>
> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN
> ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
>
>  
>
> Quisiera alguna retroalimentación; en estos momentos estoy controlando
> el ataque mediante listas de acceso que deniegan solicitudes de estos
> clientes.
>
>  
>
> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs
> que hacen peticiones desmedidas? ¿O alguna forma de control similar?
>
>  
>
> LES RUEGO AYUDARME CON ESTE ASUNTO.
>
>  
>
> Saludos,
>
> Ing. Francisco Vargas
>
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20120531/f607048d/attachment.html

Más información sobre la lista de distribución dns-esp