<div>Del artículo mencionado por Gino, para Netfliter (iptables)</div><div> </div><div><div>-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'<br>-m recent --set --name dnsanyquery<br><br>-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'<br>
-m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP<br></div><div>Jose<br></div></div><div class="gmail_quote">2012/5/31 Francisco Vargas Piedra <span dir="ltr"><<a href="mailto:f.vargas@cabletica.com" target="_blank">f.vargas@cabletica.com</a>></span><br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<div lang="ES-CR" vlink="purple" link="blue">
<div>
<p class="MsoNormal">Buenas tardes,<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “<a href="http://ripe.net" target="_blank">ripe.net</a>”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio)
de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):<u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US">May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) '<a href="http://ripe.net/ANY/IN" target="_blank">ripe.net/ANY/IN</a>' denied</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US">May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) '<a href="http://ripe.net/ANY/IN" target="_blank">ripe.net/ANY/IN</a>' denied</span><u></u><u></u></p>
<p class="MsoNormal">Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><span lang="EN-US">29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: <a href="http://ripe.net" target="_blank">ripe.net</a> IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)<u></u><u></u></span></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">LES RUEGO AYUDARME CON ESTE ASUNTO.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Saludos,<u></u><u></u></p>
<p class="MsoNormal">Ing. Francisco Vargas<u></u><u></u></p>
</div>
</div>
<br>_______________________________________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
<br></blockquote></div><br>