<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
Hola,<br>
<br>
no conozco una solucion dentro del mismo BIND, se me ocurre que se
podria implementar algo que arme la lista de acceso dinamicamente
(alguna vez implemente algo asi para controlar spammers), pero no
conozco una solucion lista para usar que no involucre probablemente
comprar hardware, etc.<br>
<br>
s2<br>
<br>
Carlos<br>
<br>
On 5/31/12 5:47 PM, Francisco Vargas Piedra wrote:
<blockquote
cite="mid:956C9CAAF4A240448746DF9626066ADC9D1E12B4@SABEXCH01.teletica.local"
type="cite">
<meta http-equiv="Content-Type" content="text/html;
charset=ISO-8859-1">
<meta name="Generator" content="Microsoft Word 14 (filtered
medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
color:black;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
pre
{mso-style-priority:99;
mso-style-link:"HTML con formato previo Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New";
color:black;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Texto de globo Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";
color:black;
mso-fareast-language:EN-US;}
span.TextodegloboCar
{mso-style-name:"Texto de globo Car";
mso-style-priority:99;
mso-style-link:"Texto de globo";
font-family:"Tahoma","sans-serif";}
span.EstiloCorreo19
{mso-style-type:personal;
font-family:"Calibri","sans-serif";
color:windowtext;}
span.HTMLconformatoprevioCar
{mso-style-name:"HTML con formato previo Car";
mso-style-priority:99;
mso-style-link:"HTML con formato previo";
font-family:"Consolas","serif";
color:black;
mso-fareast-language:EN-US;}
span.EstiloCorreo22
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">Hola Carlos, <o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Muchísimas
gracias por tu respuesta. El problema es precisamente que
todo el tráfico con peticiones maliciosas se genera de
direcciones IP válidas de mi red. Las tengo filtradas por el
momento y ya se contactó a los clientes para que hagan algún
esfuerzo a nivel de antivirus (es decir, el problema está
bajo control). Sin embargo, ¿no sabes si existe alguna
manera o truco de seguridad que impida que direcciones de
mis propias redes efectúen tantas peticiones simultáneas?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Lo que digo es
que el botnet se instaló en varias computadoras de mis
propios clientes y al activarse empezó el ataque; mi DNS
intentaba contestar dado que sí pertenecen a la red.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Saludos <o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF
1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span
style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext;mso-fareast-language:ES-CR"
lang="ES">De:</span></b><span
style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext;mso-fareast-language:ES-CR"
lang="ES"> Carlos M. Martinez
[<a class="moz-txt-link-freetext" href="mailto:carlosm3011@gmail.com">mailto:carlosm3011@gmail.com</a>] <br>
<b>Enviado el:</b> jueves, 31 de mayo de 2012 02:42 p.m.<br>
<b>Para:</b> DNS en español<br>
<b>CC:</b> Francisco Vargas Piedra<br>
<b>Asunto:</b> Re: [dns-esp] Ataque a mis DNS<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Hola Francisco,<br>
<br>
entiendo que las consultas de esta supuesta botnet llegan a
tus DNS recusivos verdad ? No puedes simplemente filtrar el
trafico DNS hacia tus recursivos y permitir unicamente el que
viene de tus redes ?
<br>
<br>
No me refiero a denegar la recursion en BIND sino a filtrar
completamente el trafico, de tal manera que no cargue al
servidor.<br>
<br>
s2<br>
<br>
Carlos<br>
<br>
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: <o:p></o:p></p>
<p class="MsoNormal">Buenas tardes,<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Mi nombre es Francisco Vargas y soy
ingeniero de una compañía de cable. Estoy encargado de la
administración de los DNS.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">He recibido un ataque que consistió en la
saturación de mis servidores a través de peticiones a
“ripe.net”. Parece ser una especie de botnet que se propagó
por varios CPUs (108 direcciones IP consultaban desmedidamente
hacia ese dominio) de nuestros clientes. Mis DNSs están
configurados con Bind y la plataforma sólo responde a las
direcciones IP de nuestros clientes.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">¿Alguien sabe de algún virus que pueda
causar este tipo de problemas? Otro punto importante es que se
activó en el mismo momento; es decir, parece que el botnet
pudo haber sido activado a través de un C&C.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Justo antes del ataque logré capturar esta
petición sospechosa (que fue denegada):<o:p></o:p></p>
<p class="MsoNormal"
style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span
lang="EN-US">May 28 11:53:21 XXXXXXXX named[5841]: client
80.82.70.138#53: query (cache) '<a moz-do-not-send="true"
href="http://ripe.net/ANY/IN" target="_blank">ripe.net/ANY/IN</a>'
denied</span><o:p></o:p></p>
<p class="MsoNormal"
style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span
lang="EN-US">May 28 11:28:15 XXXXXXXX named[4367]: client
80.82.70.138#53: query (cache) '<a moz-do-not-send="true"
href="http://ripe.net/ANY/IN" target="_blank">ripe.net/ANY/IN</a>'
denied</span><o:p></o:p></p>
<p class="MsoNormal">Además las peticiones que inundaron mis
servidores eran de la siguiente forma (elimino la dirección IP
por no ser de interés):<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"><span lang="EN-US">29-May-2012 14:53:11.185
client DIRECCION_IP#32768: query: ripe.net IN ANY +ED
(DIRECCION_IP_DE_NUESTRO_SERVER)</span><o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Quisiera alguna retroalimentación; en estos
momentos estoy controlando el ataque mediante listas de acceso
que deniegan solicitudes de estos clientes.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">¿Alguien sabe alguna forma de hacer que
Bind deniegue respuestas a IPs que hacen peticiones
desmedidas? ¿O alguna forma de control similar?<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">LES RUEGO AYUDARME CON ESTE ASUNTO.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Saludos,<o:p></o:p></p>
<p class="MsoNormal">Ing. Francisco Vargas<o:p></o:p></p>
<p class="MsoNormal"><span
style="font-size:12.0pt;font-family:"Times New
Roman","serif";mso-fareast-language:ES-CR"><br>
<br>
<br>
<o:p></o:p></span></p>
<pre>_______________________________________________<o:p></o:p></pre>
<pre>dns-esp mailing list<o:p></o:p></pre>
<pre><a moz-do-not-send="true" href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a><o:p></o:p></pre>
<pre><a moz-do-not-send="true" href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a><o:p></o:p></pre>
</div>
</blockquote>
</body>
</html>