[dns-esp] Ataque a mis DNS

Sebastian Castro sebas en requin.cl
Jue Mayo 31 17:14:40 CLT 2012 

On 01/06/12 09:10, Francisco Vargas Piedra wrote:
>> La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus
>> clientes? Existe la posibilidad de que el ataque sea con
>> direcciones falsificadas, por lo que alguien mas podria estar
>> usando tus direcciones para mandar trafico a RIPE, por lo que tu
>> recibes las >respuestas.
> 
> Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue
> denegada por no pertenecer a nuestra red. Lo que te quiero decir es
> que se detectó esa petición justo antes de que empezara el ataque con
> las direcciones de mi propia red. A pesar de que se denegó me pareció
> curioso y muy coincidente esta petición; por lo tanto escribí esa
> información por si acaso alguien más la ha visto; podría ser la
> dirección ip del C&C que activa el botnet; pero sería mera
> especulación.
> 

Eso es relevante y muy util. Aparentemente alguien fuera de tu red trato
de usar tu servidor como plataforma para el ataque, debe ser una fase mas.

Yo sugeriria que, ademas de lo que Francisco Obispo te pidio, trataras
de guardar todos los logs que tengas. Recolectar las direcciones
involucradas en un DDoS es siempre util para rastrear las fuentes.


> Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA
> LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE
> ME RECIBIERON. En lo que pueda estoy a sus servicios.

No se preocupe, la comunidad es nueva en si y queremos hacerla mas
grande y mas fuerte.


Saludos!

> 
> Saludos, Francisco Vargas Piedra
> 
> 
> 
> 
> -----Mensaje original----- De: dns-esp-bounces en listas.nic.cl
> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Sebastian Castro 
> Enviado el: jueves, 31 de mayo de 2012 02:55 p.m. Para: DNS en
> español Asunto: Re: [dns-esp] Ataque a mis DNS
> 
> On 01/06/12 08:31, Francisco Vargas Piedra wrote:
>> Buenas tardes,
>> 
>> 
> 
> Hola Francisco,
> 
>> 
>> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de
>> cable. Estoy encargado de la administración de los DNS.
>> 
>> 
>> He recibido un ataque que consistió en la saturación de mis
>> servidores a través de peticiones a "ripe.net". Parece ser una
>> especie de botnet que se propagó por varios CPUs (108 direcciones
>> IP consultaban desmedidamente hacia ese dominio) de nuestros
>> clientes.  Mis DNSs están configurados con Bind y la plataforma
>> sólo responde a las direcciones IP de nuestros clientes.
>> 
> 
> Lo que estas viendo es un ataque de amplificacion de DNS, donde
> aparentemente algunos de tus clientes serian miembros de una botnet,
> y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que
> sus respuestas son grandes.
> 
>> 
>> ¿Alguien sabe de algún virus que pueda causar este tipo de
>> problemas? Otro punto importante es que se activó en el mismo
>> momento; es decir, parece que el botnet pudo haber sido activado a
>> través de un C&C.
>> 
> 
> No sabria asociarlo exactamente a un virus, pero si tengo claro que
> es una botnet. Se han visto casos parecidos afectando otros
> servicios.
> 
>> 
>> 
>> Justo antes del ataque logré capturar esta petición sospechosa (que
>>  fue denegada):
>> 
>> May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53:
>> query (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>> 
>> May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53:
>> query (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>> 
>> Además las peticiones que inundaron mis servidores eran de la 
>> siguiente forma (elimino la dirección IP por no ser de interés):
>> 
> 
> La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus
> clientes? Existe la posibilidad de que el ataque sea con direcciones
> falsificadas, por lo que alguien mas podria estar usando tus
> direcciones para mandar trafico a RIPE, por lo que tu recibes las
> respuestas.
> 
> 
>> 
>> 
>> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net
>> IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
>> 
>> 
>> 
>> Quisiera alguna retroalimentación; en estos momentos estoy
>> controlando el ataque mediante listas de acceso que deniegan
>> solicitudes de estos clientes.
>> 
>> 
>> 
>> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a
>> IPs que hacen peticiones desmedidas? ¿O alguna forma de control
>> similar?
> 
> BIND, hasta donde se, no implementa restriccion por numero de
> consultas, pero si tiene la funcionalidad de "blackhole", donde una
> lista de direcciones no recibiran respuesta.
> 
> La alternativa es que utilices reglas de firewall para limitar el
> numero de paquetes de DNS por segundo. Tiene que mantener la menor
> cantidad de estado posible por cliente, si no terminaras matando el
> router/firewall
> 
>> 
>> LES RUEGO AYUDARME CON ESTE ASUNTO.
> 
> Saludos,
> 
>> 
>> Saludos,
>> 
>> Ing. Francisco Vargas
>> 
>> 
>> 
>> _______________________________________________ dns-esp mailing
>> list dns-esp en listas.nic.cl 
>> https://listas.nic.cl/mailman/listinfo/dns-esp
> 
> _______________________________________________ dns-esp mailing list 
> dns-esp en listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp 
> _______________________________________________ dns-esp mailing list 
> dns-esp en listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Más información sobre la lista de distribución dns-esp