[dns-esp] Ataque a mis DNS
Sebastian Castro
sebas en requin.cl
Jue Mayo 31 17:16:22 CLT 2012
On 01/06/12 09:11, Francisco Vargas Piedra wrote:
> Correcto, esta mañana intenté contactar varios clientes para poder
> entrar a sus computadoras y dar con el virus; sin embargo, el ataque
> se ha detenido (quizás por medidas de antivirus o actualizaciones).
> Haré todos mis esfuerzos por conseguir esa imagen.
En mi experiencia, esos ataques paran porque el controlador de la botnet
logro su objetivo o quiso parar el ataque. Asi que sigue siendo util
conseguir una imagen de una de las victimas.
Saludos!
>
> Saludos tocayo.
>
> -----Mensaje original----- De: Francisco Obispo
> [mailto:fobispo en isc.org] Enviado el: jueves, 31 de mayo de 2012 02:59
> p.m. Para: Francisco Vargas Piedra CC: DNS en español; Ricardo
> Barquero Carranza Asunto: Re: [dns-esp] Ataque a mis DNS
>
>
>
> On May 31, 2012, at 1:55 PM, Francisco Vargas Piedra wrote:
>
>> Hola don Francisco Obispo,
>>
>> ¿Significa que otros proveedores han sufrido este mismo ataque con
>> peticiones a "ripe.net"?
>>
>
> En efecto, sin embargo, la parte mas crítica es poder identificar
> como se originan estas peticiones, por lo cual sería extremadamente
> útil para la comunidad, lograr conseguir una imagen de disco de una
> computadora que genere este tipo de tráfico.
>
> El comentario de Sebastián Castro con respecto a la causa, da en el
> clavo, nosotros en ISC hemos tenido problemas similares por tener la
> zona ISC.ORG firmada con DNSSEC.
>
> Saludos
>
>
>> Te agradecería infinitamente si amplías este tema y me reenvías
>> toda la información.
>>
>> Muchìsimas gracias.
>>
>> -----Mensaje original----- De: dns-esp-bounces en listas.nic.cl
>> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Francisco
>> Obispo Enviado el: jueves, 31 de mayo de 2012 02:50 p.m. Para: DNS
>> en español Asunto: Re: [dns-esp] Ataque a mis DNS
>>
>> Estimado Francisco,
>>
>> En otra lista de correo de la que formo parte, se ha estado
>> discutiendo el tema de tráfico excesivo a RIPE.NET,
>>
>> Les he enviado copia de tu correo, y cualquier novedad te la haré
>> saber.
>>
>> Un abrazo.
>>
>>
>>
>> On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:
>>
>>> Hola Carlos,
>>>
>>> Muchísimas gracias por tu respuesta. El problema es precisamente
>>> que todo el tráfico con peticiones maliciosas se genera de
>>> direcciones IP válidas de mi red. Las tengo filtradas por el
>>> momento y ya se contactó a los clientes para que hagan algún
>>> esfuerzo a nivel de antivirus (es decir, el problema está bajo
>>> control). Sin embargo, ¿no sabes si existe alguna manera o truco
>>> de seguridad que impida que direcciones de mis propias redes
>>> efectúen tantas peticiones simultáneas?
>>>
>>> Lo que digo es que el botnet se instaló en varias computadoras de
>>> mis propios clientes y al activarse empezó el ataque; mi DNS
>>> intentaba contestar dado que sí pertenecen a la red.
>>>
>>> Saludos
>>>
>>> De: Carlos M. Martinez [mailto:carlosm3011 en gmail.com] Enviado el:
>>> jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC:
>>> Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
>>>
>>> Hola Francisco,
>>>
>>> entiendo que las consultas de esta supuesta botnet llegan a tus
>>> DNS recusivos verdad ? No puedes simplemente filtrar el trafico
>>> DNS hacia tus recursivos y permitir unicamente el que viene de
>>> tus redes ?
>>>
>>> No me refiero a denegar la recursion en BIND sino a filtrar
>>> completamente el trafico, de tal manera que no cargue al
>>> servidor.
>>>
>>> s2
>>>
>>> Carlos
>>>
>>> On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas
>>> tardes,
>>>
>>> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de
>>> cable. Estoy encargado de la administración de los DNS.
>>>
>>> He recibido un ataque que consistió en la saturación de mis
>>> servidores a través de peticiones a "ripe.net". Parece ser una
>>> especie de botnet que se propagó por varios CPUs (108 direcciones
>>> IP consultaban desmedidamente hacia ese dominio) de nuestros
>>> clientes. Mis DNSs están configurados con Bind y la plataforma
>>> sólo responde a las direcciones IP de nuestros clientes.
>>>
>>> ¿Alguien sabe de algún virus que pueda causar este tipo de
>>> problemas? Otro punto importante es que se activó en el mismo
>>> momento; es decir, parece que el botnet pudo haber sido activado
>>> a través de un C&C.
>>>
>>> Justo antes del ataque logré capturar esta petición sospechosa
>>> (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client
>>> 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28
>>> 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query
>>> (cache) 'ripe.net/ANY/IN' denied Además las peticiones que
>>> inundaron mis servidores eran de la siguiente forma (elimino la
>>> dirección IP por no ser de interés):
>>>
>>> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query:
>>> ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
>>>
>>> Quisiera alguna retroalimentación; en estos momentos estoy
>>> controlando el ataque mediante listas de acceso que deniegan
>>> solicitudes de estos clientes.
>>>
>>> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas
>>> a IPs que hacen peticiones desmedidas? ¿O alguna forma de control
>>> similar?
>>>
>>> LES RUEGO AYUDARME CON ESTE ASUNTO.
>>>
>>> Saludos, Ing. Francisco Vargas
>>>
>>>
>>>
>>> _______________________________________________ dns-esp mailing
>>> list dns-esp en listas.nic.cl
>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>> _______________________________________________ dns-esp mailing
>>> list dns-esp en listas.nic.cl
>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>
>> Francisco Obispo email: fobispo en isc.org Phone: +1 650 423 1374 ||
>> INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
>>
>> _______________________________________________ dns-esp mailing
>> list dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
>
> Francisco Obispo email: fobispo en isc.org Phone: +1 650 423 1374 ||
> INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
>
> _______________________________________________ dns-esp mailing list
> dns-esp en listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Más información sobre la lista de distribución dns-esp