[dns-esp] Ataque a mis DNS

Sebastian Castro sebas en requin.cl
Jue Mayo 31 17:16:22 CLT 2012 

On 01/06/12 09:11, Francisco Vargas Piedra wrote:
> Correcto, esta mañana intenté contactar varios clientes para poder
> entrar a sus computadoras y dar con el virus; sin embargo, el ataque
> se ha detenido (quizás por medidas de antivirus o actualizaciones).
> Haré todos mis esfuerzos por conseguir esa imagen.

En mi experiencia, esos ataques paran porque el controlador de la botnet
logro su objetivo o quiso parar el ataque. Asi que sigue siendo util
conseguir una imagen de una de las victimas.

Saludos!

> 
> Saludos tocayo.
> 
> -----Mensaje original----- De: Francisco Obispo
> [mailto:fobispo en isc.org] Enviado el: jueves, 31 de mayo de 2012 02:59
> p.m. Para: Francisco Vargas Piedra CC: DNS en español; Ricardo
> Barquero Carranza Asunto: Re: [dns-esp] Ataque a mis DNS
> 
> 
> 
> On May 31, 2012, at 1:55 PM, Francisco Vargas Piedra wrote:
> 
>> Hola don Francisco Obispo,
>> 
>> ¿Significa que otros proveedores han sufrido este mismo ataque con
>> peticiones a "ripe.net"?
>> 
> 
> En efecto, sin embargo, la parte mas crítica es poder identificar
> como se originan estas peticiones, por lo cual sería extremadamente
> útil para la comunidad, lograr conseguir una imagen de disco de una
> computadora que genere este tipo de tráfico.
> 
> El comentario de Sebastián Castro con respecto a la causa, da en el
> clavo, nosotros en ISC hemos tenido problemas similares por tener la
> zona ISC.ORG firmada con DNSSEC.
> 
> Saludos
> 
> 
>> Te agradecería infinitamente si amplías este tema y me reenvías
>> toda la información.
>> 
>> Muchìsimas gracias.
>> 
>> -----Mensaje original----- De: dns-esp-bounces en listas.nic.cl 
>> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Francisco
>> Obispo Enviado el: jueves, 31 de mayo de 2012 02:50 p.m. Para: DNS
>> en español Asunto: Re: [dns-esp] Ataque a mis DNS
>> 
>> Estimado Francisco,
>> 
>> En otra lista de correo de la que formo parte, se ha estado 
>> discutiendo el tema de tráfico excesivo a RIPE.NET,
>> 
>> Les he enviado copia de tu correo, y cualquier novedad te la haré
>> saber.
>> 
>> Un abrazo.
>> 
>> 
>> 
>> On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:
>> 
>>> Hola Carlos,
>>> 
>>> Muchísimas gracias por tu respuesta. El problema es precisamente
>>> que todo el tráfico con peticiones maliciosas se genera de
>>> direcciones IP válidas de mi red. Las tengo filtradas por el
>>> momento y ya se contactó a los clientes para que hagan algún
>>> esfuerzo a nivel de antivirus (es decir, el problema está bajo
>>> control). Sin embargo, ¿no sabes si existe alguna manera o truco
>>> de seguridad que impida que direcciones de mis propias redes
>>> efectúen tantas peticiones simultáneas?
>>> 
>>> Lo que digo es que el botnet se instaló en varias computadoras de
>>> mis propios clientes y al activarse empezó el ataque; mi DNS
>>> intentaba contestar dado que sí pertenecen a la red.
>>> 
>>> Saludos
>>> 
>>> De: Carlos M. Martinez [mailto:carlosm3011 en gmail.com] Enviado el:
>>>  jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC:
>>> Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
>>> 
>>> Hola Francisco,
>>> 
>>> entiendo que las consultas de esta supuesta botnet llegan a tus
>>> DNS recusivos verdad ? No puedes simplemente filtrar el trafico
>>> DNS hacia tus recursivos y permitir unicamente el que viene de
>>> tus redes ?
>>> 
>>> No me refiero a denegar la recursion en BIND sino a filtrar
>>> completamente el trafico, de tal manera que no cargue al
>>> servidor.
>>> 
>>> s2
>>> 
>>> Carlos
>>> 
>>> On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas
>>> tardes,
>>> 
>>> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de
>>> cable. Estoy encargado de la administración de los DNS.
>>> 
>>> He recibido un ataque que consistió en la saturación de mis
>>> servidores a través de peticiones a "ripe.net". Parece ser una
>>> especie de botnet que se propagó por varios CPUs (108 direcciones
>>> IP consultaban desmedidamente hacia ese dominio) de nuestros
>>> clientes.  Mis DNSs están configurados con Bind y la plataforma
>>> sólo responde a las direcciones IP de nuestros clientes.
>>> 
>>> ¿Alguien sabe de algún virus que pueda causar este tipo de
>>> problemas? Otro punto importante es que se activó en el mismo
>>> momento; es decir, parece que el botnet pudo haber sido activado
>>> a través de un C&C.
>>> 
>>> Justo antes del ataque logré capturar esta petición sospechosa
>>> (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client
>>> 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28
>>> 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query
>>> (cache) 'ripe.net/ANY/IN' denied Además las peticiones que
>>> inundaron mis servidores eran de la siguiente forma (elimino la
>>> dirección IP por no ser de interés):
>>> 
>>> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query:
>>> ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
>>> 
>>> Quisiera alguna retroalimentación; en estos momentos estoy
>>> controlando el ataque mediante listas de acceso que deniegan
>>> solicitudes de estos clientes.
>>> 
>>> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas
>>> a IPs que hacen peticiones desmedidas? ¿O alguna forma de control
>>> similar?
>>> 
>>> LES RUEGO AYUDARME CON ESTE ASUNTO.
>>> 
>>> Saludos, Ing. Francisco Vargas
>>> 
>>> 
>>> 
>>> _______________________________________________ dns-esp mailing
>>> list dns-esp en listas.nic.cl 
>>> https://listas.nic.cl/mailman/listinfo/dns-esp 
>>> _______________________________________________ dns-esp mailing
>>> list dns-esp en listas.nic.cl 
>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>> 
>> Francisco Obispo email: fobispo en isc.org Phone: +1 650 423 1374 ||
>> INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
>> 
>> _______________________________________________ dns-esp mailing
>> list dns-esp en listas.nic.cl 
>> https://listas.nic.cl/mailman/listinfo/dns-esp
> 
> Francisco Obispo email: fobispo en isc.org Phone: +1 650 423 1374 ||
> INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
> 
> _______________________________________________ dns-esp mailing list 
> dns-esp en listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Más información sobre la lista de distribución dns-esp