[dns-esp] Ataque a mis DNS

Sebastian Castro sebas en requin.cl
Jue Mayo 31 16:55:24 CLT 2012


On 01/06/12 08:31, Francisco Vargas Piedra wrote:
> Buenas tardes,
> 
>  

Hola Francisco,

> 
> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable.
> Estoy encargado de la administración de los DNS.
> 
> 
> He recibido un ataque que consistió en la saturación de mis servidores a
> través de peticiones a “ripe.net”. Parece ser una especie de botnet que
> se propagó por varios CPUs (108 direcciones IP consultaban
> desmedidamente hacia ese dominio) de nuestros clientes.  Mis DNSs están
> configurados con Bind y la plataforma sólo responde a las direcciones IP
> de nuestros clientes.
> 

Lo que estas viendo es un ataque de amplificacion de DNS, donde
aparentemente algunos de tus clientes serian miembros de una botnet, y
atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus
respuestas son grandes.

> 
> ¿Alguien sabe de algún virus que pueda causar este tipo de problemas?
> Otro punto importante es que se activó en el mismo momento; es decir,
> parece que el botnet pudo haber sido activado a través de un C&C.
> 

No sabria asociarlo exactamente a un virus, pero si tengo claro que es
una botnet. Se han visto casos parecidos afectando otros servicios.

>  
> 
> Justo antes del ataque logré capturar esta petición sospechosa (que fue
> denegada):
> 
> May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query
> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
> 
> May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query
> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
> 
> Además las peticiones que inundaron mis servidores eran de la siguiente
> forma (elimino la dirección IP por no ser de interés):
> 

La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes?
Existe la posibilidad de que el ataque sea con direcciones falsificadas,
por lo que alguien mas podria estar usando tus direcciones para mandar
trafico a RIPE, por lo que tu recibes las respuestas.


>  
> 
> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN
> ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
> 
>  
> 
> Quisiera alguna retroalimentación; en estos momentos estoy controlando
> el ataque mediante listas de acceso que deniegan solicitudes de estos
> clientes.
> 
>  
> 
> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs
> que hacen peticiones desmedidas? ¿O alguna forma de control similar?

BIND, hasta donde se, no implementa restriccion por numero de consultas,
pero si tiene la funcionalidad de "blackhole", donde una lista de
direcciones no recibiran respuesta.

La alternativa es que utilices reglas de firewall para limitar el numero
de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de
estado posible por cliente, si no terminaras matando el router/firewall

> 
> LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos,

> 
> Saludos,
> 
> Ing. Francisco Vargas
> 
> 
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp



Más información sobre la lista de distribución dns-esp