[dns-esp] Ataque a mis DNS

Sergio Ramirez sramirez en seciu.edu.uy
Jue Mayo 31 18:06:35 CLT 2012 

Hola:

      Desde el lunes 28 hasta el día de hoy, nuestro firewall ha
detectado un incremento importante de consultas tipo ANY simultáneas
desde varias IPs dirigidas a uno de nuestros servidores DNS. El
servidor nunca las ha recibido pues el firwall las descartó.
En este momento este tipo de comportamiento se ha reducido bastante.
Lamentablemente, no hemos capturado estos paquetes para analizar si
las consultas eran por el nombre "ripe.net" o no.

Saludos
--
Sergio Ramírez


El 31/05/12 18:10, Francisco Vargas Piedra escribió:
>> La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes?
>> Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las >respuestas.
> 
> Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue denegada por no pertenecer a nuestra red. Lo que te quiero decir es que se detectó esa petición justo antes de que empezara el ataque con las direcciones de mi propia red. A pesar de que se denegó me pareció curioso y muy coincidente esta petición; por lo tanto escribí esa información por si acaso alguien más la ha visto; podría ser la dirección ip del C&C que activa el botnet; pero sería mera especulación.
> 
> Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE ME RECIBIERON. En lo que pueda estoy a sus servicios.
> 
> Saludos,
> Francisco Vargas Piedra
>  
> 2
> 
> 
> -----Mensaje original-----
> De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Sebastian Castro
> Enviado el: jueves, 31 de mayo de 2012 02:55 p.m.
> Para: DNS en español
> Asunto: Re: [dns-esp] Ataque a mis DNS
> 
> On 01/06/12 08:31, Francisco Vargas Piedra wrote:
>> Buenas tardes,
>>
>>  
> 
> Hola Francisco,
> 
>>
>> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable.
>> Estoy encargado de la administración de los DNS.
>>
>>
>> He recibido un ataque que consistió en la saturación de mis servidores 
>> a través de peticiones a "ripe.net". Parece ser una especie de botnet 
>> que se propagó por varios CPUs (108 direcciones IP consultaban 
>> desmedidamente hacia ese dominio) de nuestros clientes.  Mis DNSs 
>> están configurados con Bind y la plataforma sólo responde a las 
>> direcciones IP de nuestros clientes.
>>
> 
> Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.
> 
>>
>> ¿Alguien sabe de algún virus que pueda causar este tipo de problemas?
>> Otro punto importante es que se activó en el mismo momento; es decir, 
>> parece que el botnet pudo haber sido activado a través de un C&C.
>>
> 
> No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.
> 
>>  
>>
>> Justo antes del ataque logré capturar esta petición sospechosa (que 
>> fue
>> denegada):
>>
>> May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query
>> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>>
>> May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query
>> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>>
>> Además las peticiones que inundaron mis servidores eran de la 
>> siguiente forma (elimino la dirección IP por no ser de interés):
>>
> 
> La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes?
> Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.
> 
> 
>>  
>>
>> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN 
>> ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
>>
>>  
>>
>> Quisiera alguna retroalimentación; en estos momentos estoy controlando 
>> el ataque mediante listas de acceso que deniegan solicitudes de estos 
>> clientes.
>>
>>  
>>
>> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs 
>> que hacen peticiones desmedidas? ¿O alguna forma de control similar?
> 
> BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.
> 
> La alternativa es que utilices reglas de firewall para limitar el numero de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de estado posible por cliente, si no terminaras matando el router/firewall
> 
>>
>> LES RUEGO AYUDARME CON ESTE ASUNTO.
> 
> Saludos,
> 
>>
>> Saludos,
>>
>> Ing. Francisco Vargas
>>
>>
>>
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

Más información sobre la lista de distribución dns-esp