[dns-esp] Ataque a mis DNS
Francisco Vargas Piedra
f.vargas en cabletica.com
Jue Mayo 31 19:01:26 CLT 2012
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos,
Francisco Vargas Piedra
-----Mensaje original-----
De: dns-esp-bounces en listas.nic.cl [mailto:dns-esp-bounces en listas.nic.cl] En nombre de Juan Manuel Doren
Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
Para: DNS en español
Asunto: Re: [dns-esp] Ataque a mis DNS
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
> '|0000FF0001|' -m recent --set --name dnsanyquery
>
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
> '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60
> --hitcount 5 -j DROP
>
> Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal.
_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
Más información sobre la lista de distribución dns-esp