[dns-esp] Ataque a mis DNS
José Miguel Parrella Romero
joseparrella en gmail.com
Jue Mayo 31 17:20:55 CLT 2012
Del artículo mencionado por Gino, para Netfliter (iptables)
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
-m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
-m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Jose
2012/5/31 Francisco Vargas Piedra <f.vargas en cabletica.com>
> Buenas tardes,****
>
> ** **
>
> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable.
> Estoy encargado de la administración de los DNS.****
>
> ** **
>
> He recibido un ataque que consistió en la saturación de mis servidores a
> través de peticiones a “ripe.net”. Parece ser una especie de botnet que
> se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente
> hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con
> Bind y la plataforma sólo responde a las direcciones IP de nuestros
> clientes.****
>
> ** **
>
> ¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro
> punto importante es que se activó en el mismo momento; es decir, parece que
> el botnet pudo haber sido activado a través de un C&C.****
>
> ** **
>
> Justo antes del ataque logré capturar esta petición sospechosa (que fue
> denegada):****
>
> May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query
> (cache) 'ripe.net/ANY/IN' denied****
>
> May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query
> (cache) 'ripe.net/ANY/IN' denied****
>
> Además las peticiones que inundaron mis servidores eran de la siguiente
> forma (elimino la dirección IP por no ser de interés):****
>
> ** **
>
> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN
> ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)****
>
> ** **
>
> Quisiera alguna retroalimentación; en estos momentos estoy controlando el
> ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
> ****
>
> ** **
>
> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que
> hacen peticiones desmedidas? ¿O alguna forma de control similar?****
>
> ** **
>
> LES RUEGO AYUDARME CON ESTE ASUNTO.****
>
> ** **
>
> Saludos,****
>
> Ing. Francisco Vargas****
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20120531/dc6794ef/attachment.html
Más información sobre la lista de distribución dns-esp