[dns-esp] Ataque a mis DNS
Juan Manuel Doren
jm.doren en ok.cl
Jue Mayo 31 18:58:21 CLT 2012
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
>
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
>
> Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas
rápido )y por mientras solamente loguearia a los que hagan más de n
peticiones por segundo, así conoces el comportamiento normal de la
red, lo que básico para determinar cuando se convierte en anormal.
Más información sobre la lista de distribución dns-esp