[dns-esp] Ataque a mis DNS

Francisco Vargas Piedra f.vargas en cabletica.com
Jue Mayo 31 18:11:43 CLT 2012


Hola Sergio,

Muchas gracias por tu respuesta ¿ustedes utilizan reglas de firewall en el mismo iptables o tienen un firewall externo de protección al servidor DNS? En cuanto a las reglas, ¿descartan los paquetes por repetición de consultas ANY, similar a:

 -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
 
 -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'  -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.

Francisco Vargas Piedra

-----Mensaje original-----
De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Sergio Ramirez
Enviado el: jueves, 31 de mayo de 2012 04:07 p.m.
Para: DNS en español
Asunto: Re: [dns-esp] Ataque a mis DNS

Hola:

      Desde el lunes 28 hasta el día de hoy, nuestro firewall ha detectado un incremento importante de consultas tipo ANY simultáneas desde varias IPs dirigidas a uno de nuestros servidores DNS. El servidor nunca las ha recibido pues el firwall las descartó.
En este momento este tipo de comportamiento se ha reducido bastante.
Lamentablemente, no hemos capturado estos paquetes para analizar si las consultas eran por el nombre "ripe.net" o no.

Saludos
--
Sergio Ramírez


El 31/05/12 18:10, Francisco Vargas Piedra escribió:
>> La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes?
>> Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las >respuestas.
> 
> Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue denegada por no pertenecer a nuestra red. Lo que te quiero decir es que se detectó esa petición justo antes de que empezara el ataque con las direcciones de mi propia red. A pesar de que se denegó me pareció curioso y muy coincidente esta petición; por lo tanto escribí esa información por si acaso alguien más la ha visto; podría ser la dirección ip del C&C que activa el botnet; pero sería mera especulación.
> 
> Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE ME RECIBIERON. En lo que pueda estoy a sus servicios.
> 
> Saludos,
> Francisco Vargas Piedra
>  
> 2
> 
> 
> -----Mensaje original-----
> De: dns-esp-bounces en listas.nic.cl 
> [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Sebastian Castro Enviado el: jueves, 31 de mayo de 2012 02:55 p.m.
> Para: DNS en español
> Asunto: Re: [dns-esp] Ataque a mis DNS
> 
> On 01/06/12 08:31, Francisco Vargas Piedra wrote:
>> Buenas tardes,
>>
>>  
> 
> Hola Francisco,
> 
>>
>> Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable.
>> Estoy encargado de la administración de los DNS.
>>
>>
>> He recibido un ataque que consistió en la saturación de mis 
>> servidores a través de peticiones a "ripe.net". Parece ser una 
>> especie de botnet que se propagó por varios CPUs (108 direcciones IP 
>> consultaban desmedidamente hacia ese dominio) de nuestros clientes.  
>> Mis DNSs están configurados con Bind y la plataforma sólo responde a 
>> las direcciones IP de nuestros clientes.
>>
> 
> Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.
> 
>>
>> ¿Alguien sabe de algún virus que pueda causar este tipo de problemas?
>> Otro punto importante es que se activó en el mismo momento; es decir, 
>> parece que el botnet pudo haber sido activado a través de un C&C.
>>
> 
> No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.
> 
>>  
>>
>> Justo antes del ataque logré capturar esta petición sospechosa (que 
>> fue
>> denegada):
>>
>> May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query
>> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>>
>> May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query
>> (cache) 'ripe.net/ANY/IN <http://ripe.net/ANY/IN>' denied
>>
>> Además las peticiones que inundaron mis servidores eran de la 
>> siguiente forma (elimino la dirección IP por no ser de interés):
>>
> 
> La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes?
> Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.
> 
> 
>>  
>>
>> 29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net 
>> IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
>>
>>  
>>
>> Quisiera alguna retroalimentación; en estos momentos estoy 
>> controlando el ataque mediante listas de acceso que deniegan 
>> solicitudes de estos clientes.
>>
>>  
>>
>> ¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a 
>> IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
> 
> BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.
> 
> La alternativa es que utilices reglas de firewall para limitar el 
> numero de paquetes de DNS por segundo. Tiene que mantener la menor 
> cantidad de estado posible por cliente, si no terminaras matando el 
> router/firewall
> 
>>
>> LES RUEGO AYUDARME CON ESTE ASUNTO.
> 
> Saludos,
> 
>>
>> Saludos,
>>
>> Ing. Francisco Vargas
>>
>>
>>
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp


Más información sobre la lista de distribución dns-esp