[dns-esp] Ataque a mis DNS

Francisco Vargas Piedra f.vargas en cabletica.com
Jue Mayo 31 17:45:03 CLT 2012 

Uno de los clientes afectados nos reportó una actividad inusual por parte de esta dirección IP de China: 183.192.168.14

Hemos detectado que esa dirección ha interactuado con algunos de nuestros clientes afectados; no sé si servirá como información valiosa.

Saludos,

Francisco Vargas Piedra

-----Mensaje original-----
De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Francisco Obispo
Enviado el: jueves, 31 de mayo de 2012 03:26 p.m.
Para: DNS en español
Asunto: Re: [dns-esp] Ataque a mis DNS

El problema de bloquear los quueries ANY es que algunos servidores de correo lo utilizan para obtener la lista de RRs, al bloquearlo se corre el riesgo de romper mas que el DNS.

Aunque la sugerencia de usar un rate limiting como se propone aqui podría funcionar dependiendo de la cantidad de tráfico que se reciba.

saludos


On May 31, 2012, at 2:20 PM, José Miguel Parrella Romero wrote:

> Del artículo mencionado por Gino, para Netfliter (iptables)
>  
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
> -m recent --set --name dnsanyquery
> 
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
> -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j 
> DROP Jose
> 2012/5/31 Francisco Vargas Piedra <f.vargas en cabletica.com> Buenas 
> tardes,
> 
>  
> 
> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
> 
>  
> 
> He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes.  Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
> 
>  
> 
> ¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
> 
>  
> 
> Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
> 
> May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query 
> (cache) 'ripe.net/ANY/IN' denied
> 
> May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query 
> (cache) 'ripe.net/ANY/IN' denied
> 
> Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
> 
>  
> 
> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN 
> ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
> 
>  
> 
> Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
> 
>  
> 
> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
> 
>  
> 
> LES RUEGO AYUDARME CON ESTE ASUNTO.
> 
>  
> 
> Saludos,
> 
> Ing. Francisco Vargas
> 
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> 
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

Francisco Obispo
email: fobispo en isc.org
Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE

_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp

Más información sobre la lista de distribución dns-esp