[dns-esp] Ataque a mis DNS

[Carlos M. Martinez]

Hola,

no conozco una solucion dentro del mismo BIND, se me ocurre que se
podria implementar algo que arme la lista de acceso dinamicamente
(alguna vez implemente algo asi para controlar spammers), pero no
conozco una solucion lista para usar que no involucre probablemente
comprar hardware, etc.

s2

Carlos

On 5/31/12 5:47 PM, Francisco Vargas Piedra wrote:
>
> Hola Carlos,
>
>  
>
> Muchísimas gracias por tu respuesta. El problema es precisamente que
> todo el tráfico con peticiones maliciosas se genera de direcciones IP
> válidas de mi red. Las tengo filtradas por el momento y ya se contactó
> a los clientes para que hagan algún esfuerzo a nivel de antivirus (es
> decir, el problema está bajo control). Sin embargo, ¿no sabes si
> existe alguna manera o truco de seguridad que impida que direcciones
> de mis propias redes efectúen tantas peticiones simultáneas?
>
>  
>
> Lo que digo es que el botnet se instaló en varias computadoras de mis
> propios clientes y al activarse empezó el ataque; mi DNS intentaba
> contestar dado que sí pertenecen a la red.
>
>  
>
> Saludos
>
>  
>
> *De:*Carlos M. Martinez [mailto:carlosm3011 en gmail.com]
> *Enviado el:* jueves, 31 de mayo de 2012 02:42 p.m.
> *Para:* DNS en español
> *CC:* Francisco Vargas Piedra
> *Asunto:* Re: [dns-esp] Ataque a mis DNS
>
>  
>
> Hola Francisco,
>
> entiendo que las consultas de esta supuesta botnet llegan a tus DNS
> recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia
> tus recursivos y permitir unicamente el que viene de tus redes ?
>
> No me refiero a denegar la recursion en BIND sino a filtrar
> completamente el trafico, de tal manera que no cargue al servidor.
>
> s2
>
> Carlos
>
> On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote:
>
> Buenas tardes,
>
>  
>
> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de
> cable. Estoy encargado de la administración de los DNS.
>
>  
>
> He recibido un ataque que consistió en la saturación de mis servidores
> a través de peticiones a "ripe.net". Parece ser una especie de botnet
> que se propagó por varios CPUs (108 direcciones IP consultaban
> desmedidamente hacia ese dominio) de nuestros clientes.  Mis DNSs
> están configurados con Bind y la plataforma sólo responde a las
> direcciones IP de nuestros clientes.
>
>  
>
> ¿Alguien sabe de algún virus que pueda causar este tipo de problemas?
> Otro punto importante es que se activó en el mismo momento; es decir,
> parece que el botnet pudo haber sido activado a través de un C&C.
>
>  
>
> Justo antes del ataque logré capturar esta petición sospechosa (que
> fue denegada):
>
> May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query
> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>
> May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query
> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>
> Además las peticiones que inundaron mis servidores eran de la
> siguiente forma (elimino la dirección IP por no ser de interés):
>
>  
>
> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN
> ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
>
>  
>
> Quisiera alguna retroalimentación; en estos momentos estoy controlando
> el ataque mediante listas de acceso que deniegan solicitudes de estos
> clientes.
>
>  
>
> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs
> que hacen peticiones desmedidas? ¿O alguna forma de control similar?
>
>  
>
> LES RUEGO AYUDARME CON ESTE ASUNTO.
>
>  
>
> Saludos,
>
> Ing. Francisco Vargas
>
>
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl <mailto:dns-esp en listas.nic.cl>
> https://listas.nic.cl/mailman/listinfo/dns-esp
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20120531/d2169a9f/attachment.html