<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
Estimados aporto con granitos de arena en estadisticas<br>
<br>
<meta http-equiv="CONTENT-TYPE" content="text/html;
charset=ISO-8859-1">
<title></title>
<meta name="GENERATOR" content="LibreOffice 3.5 (Linux)">
<style>
<!--
BODY,DIV,TABLE,THEAD,TBODY,TFOOT,TR,TH,TD,P { font-family:"Calibri"; font-size:x-small }
-->
</style>
<meta http-equiv="CONTENT-TYPE" content="text/html;
charset=ISO-8859-1">
<table cols="10" border="0" cellspacing="0">
<colgroup width="121"></colgroup> <colgroup width="109"></colgroup>
<colgroup width="73"></colgroup> <colgroup width="52"></colgroup>
<colgroup width="143"></colgroup> <colgroup width="25"></colgroup>
<colgroup width="148"></colgroup> <colgroup width="79"></colgroup>
<colgroup width="72"></colgroup> <colgroup width="55"></colgroup>
<tbody>
<tr>
<td height="21" align="LEFT"><b><font color="#000000"
face="Arial Unicode MS">Date flow start</font></b></td>
<td align="LEFT"><b><font color="#000000" face="Arial Unicode
MS"><br>
</font></b></td>
<td align="LEFT"><b><font color="#000000" face="Arial Unicode
MS">Duration</font></b></td>
<td align="LEFT"><b><font color="#000000" face="Arial Unicode
MS">Proto</font></b></td>
<td align="LEFT"><b><font color="#000000" face="Arial Unicode
MS">Src IP Addr:Port</font></b></td>
<td align="LEFT"><b><font color="#000000"><br>
</font></b></td>
<td align="LEFT"><b><font color="#000000" face="Arial Unicode
MS">Dst IP Addr:Port</font></b></td>
<td align="LEFT"><b><font color="#000000" face="Arial Unicode
MS">Packets </font></b></td>
<td align="LEFT"><b><font color="#000000" face="Arial Unicode
MS">Bytes</font></b></td>
<td align="LEFT"><b><font color="#000000" face="Arial Unicode
MS">Flows</font></b></td>
</tr>
<tr>
<td sdval="41061" sdnum="1033;1033;M/D/YYYY" height="21"
align="RIGHT"><font color="#000000" face="Arial Unicode MS">6/1/2012</font></td>
<td align="LEFT"><font color="#000000">08:25:34.409</font></td>
<td sdval="902272" sdnum="1033;0;#,##0" align="RIGHT"><font
color="#000000">902,272</font></td>
<td align="LEFT"><font color="#000000">UDP</font></td>
<td align="LEFT"><font color="#000000">46.249.48.59:53</font></td>
<td align="LEFT"><font color="#000000">-></font></td>
<td align="LEFT"><font color="#000000">XXX.XXX.XXX.XXX:53</font></td>
<td align="LEFT"><font color="#000000">11.0 M</font></td>
<td align="LEFT"><font color="#000000">724.9 M</font></td>
<td sdval="1" sdnum="1033;" align="RIGHT"><font
color="#000000">1</font></td>
</tr>
<tr>
<td sdval="41061" sdnum="1033;1033;M/D/YYYY" height="21"
align="RIGHT"><font color="#000000" face="Arial Unicode MS">6/1/2012</font></td>
<td align="LEFT"><font color="#000000">08:25:34.409</font></td>
<td sdval="902272" sdnum="1033;0;#,##0" align="RIGHT"><font
color="#000000">902,272</font></td>
<td align="LEFT"><font color="#000000">UDP</font></td>
<td align="LEFT"><font color="#000000">46.249.48.59:53</font></td>
<td align="LEFT"><font color="#000000">-></font></td>
<td align="LEFT"><font color="#000000">XXX.XXX.XXX.XXX</font><font
color="#000000">:53</font></td>
<td align="LEFT"><font color="#000000">11.0 M</font></td>
<td align="LEFT"><font color="#000000">724.8 M</font></td>
<td sdval="1" sdnum="1033;" align="RIGHT"><font
color="#000000">1</font></td>
</tr>
<tr>
<td sdval="41061" sdnum="1033;1033;M/D/YYYY" height="21"
align="RIGHT"><font color="#000000" face="Arial Unicode MS">6/1/2012</font></td>
<td align="LEFT"><font color="#000000">08:31:56.100</font></td>
<td sdval="904832" sdnum="1033;0;#,##0" align="RIGHT"><font
color="#000000">904,832</font></td>
<td align="LEFT"><font color="#000000">UDP</font></td>
<td align="LEFT"><font color="#000000">46.249.48.59:53</font></td>
<td align="LEFT"><font color="#000000">-></font></td>
<td align="LEFT"><font color="#000000">XXX.XXX.XXX.XXX</font><font
color="#000000">:53</font></td>
<td sdval="48383" sdnum="1033;" align="RIGHT"><font
color="#000000">48383</font></td>
<td align="LEFT"><font color="#000000">3.2 M</font></td>
<td sdval="1" sdnum="1033;" align="RIGHT"><font
color="#000000">1</font></td>
</tr>
<tr>
<td sdval="41061" sdnum="1033;1033;M/D/YYYY" height="21"
align="RIGHT"><font color="#000000" face="Arial Unicode MS">6/1/2012</font></td>
<td align="LEFT"><font color="#000000">08:31:56.100</font></td>
<td sdval="904832" sdnum="1033;0;#,##0" align="RIGHT"><font
color="#000000">904,832</font></td>
<td align="LEFT"><font color="#000000">UDP</font></td>
<td align="LEFT"><font color="#000000">46.249.48.59:53</font></td>
<td align="LEFT"><font color="#000000">-></font></td>
<td align="LEFT"><font color="#000000">XXX.XXX.XXX.XXX</font><font
color="#000000">:53</font></td>
<td sdval="31353" sdnum="1033;" align="RIGHT"><font
color="#000000">31353</font></td>
<td align="LEFT"><font color="#000000">2.1 M</font></td>
<td sdval="1" sdnum="1033;" align="RIGHT"><font
color="#000000">1</font></td>
</tr>
<tr>
<td sdval="41061" sdnum="1033;1033;M/D/YYYY" height="21"
align="RIGHT"><font color="#000000" face="Arial Unicode MS">6/1/2012</font></td>
<td align="LEFT"><font color="#000000">08:31:56.164</font></td>
<td sdval="904896" sdnum="1033;0;#,##0" align="RIGHT"><font
color="#000000">904,896</font></td>
<td align="LEFT"><font color="#000000">UDP</font></td>
<td align="LEFT"><font color="#000000">46.249.48.59:53</font></td>
<td align="LEFT"><font color="#000000">-></font></td>
<td align="LEFT"><font color="#000000">XXX.XXX.XXX.XXX</font><font
color="#000000">:53</font></td>
<td sdval="48406" sdnum="1033;" align="RIGHT"><font
color="#000000">48406</font></td>
<td align="LEFT"><font color="#000000">3.2 M</font></td>
<td sdval="1" sdnum="1033;" align="RIGHT"><font
color="#000000">1</font></td>
</tr>
<tr>
<td sdval="41061" sdnum="1033;1033;M/D/YYYY" height="21"
align="RIGHT"><font color="#000000" face="Arial Unicode MS">6/1/2012</font></td>
<td align="LEFT"><font color="#000000">08:31:56.099</font></td>
<td sdval="904960" sdnum="1033;0;#,##0" align="RIGHT"><font
color="#000000">904,960</font></td>
<td align="LEFT"><font color="#000000">UDP</font></td>
<td align="LEFT"><font color="#000000">46.249.48.59:53</font></td>
<td align="LEFT"><font color="#000000">-></font></td>
<td align="LEFT"><font color="#000000">XXX.XXX.XXX.XXX</font><font
color="#000000">:53</font></td>
<td sdval="48387" sdnum="1033;" align="RIGHT"><font
color="#000000">48387</font></td>
<td align="LEFT"><font color="#000000">3.2 M</font></td>
<td sdval="1" sdnum="1033;" align="RIGHT"><font
color="#000000">1</font></td>
</tr>
<tr>
<td sdval="41061" sdnum="1033;1033;M/D/YYYY" height="21"
align="RIGHT"><font color="#000000" face="Arial Unicode MS">6/1/2012</font></td>
<td align="LEFT"><font color="#000000">08:31:56.099</font></td>
<td sdval="904960" sdnum="1033;0;#,##0" align="RIGHT"><font
color="#000000">904,960</font></td>
<td align="LEFT"><font color="#000000">UDP</font></td>
<td align="LEFT"><font color="#000000">46.249.48.59:53</font></td>
<td align="LEFT"><font color="#000000">-></font></td>
<td align="LEFT"><font color="#000000">XXX.XXX.XXX.XXX</font><font
color="#000000">:53</font></td>
<td sdval="48414" sdnum="1033;" align="RIGHT"><font
color="#000000">48414</font></td>
<td align="LEFT"><font color="#000000">3.2 M</font></td>
<td sdval="1" sdnum="1033;" align="RIGHT"><font
color="#000000">1</font></td>
</tr>
<tr>
<td sdval="41061" sdnum="1033;1033;M/D/YYYY" height="21"
align="RIGHT"><font color="#000000" face="Arial Unicode MS">6/1/2012</font></td>
<td align="LEFT"><font color="#000000">08:31:56.163</font></td>
<td sdval="904768" sdnum="1033;0;#,##0" align="RIGHT"><font
color="#000000">904,768</font></td>
<td align="LEFT"><font color="#000000">UDP</font></td>
<td align="LEFT"><font color="#000000">46.249.48.59:53</font></td>
<td align="LEFT"><font color="#000000">-></font></td>
<td align="LEFT"><font color="#000000">XXX.XXX.XXX.XXX</font><font
color="#000000">:53</font></td>
<td sdval="48375" sdnum="1033;" align="RIGHT"><font
color="#000000">48375</font></td>
<td align="LEFT"><font color="#000000">3.2 M</font></td>
<td sdval="1" sdnum="1033;" align="RIGHT"><font
color="#000000">1</font></td>
</tr>
</tbody>
</table>
<title></title>
<meta name="GENERATOR" content="LibreOffice 3.5 (Linux)">
<style>
<!--
BODY,DIV,TABLE,THEAD,TBODY,TFOOT,TR,TH,TD,P { font-family:"Calibri"; font-size:x-small }
-->
</style><br>
<br>
Sigo reuniendo Info<br>
<br>
<br>
On 06/01/2012 01:20 PM, Francisco Vargas Piedra wrote:
<blockquote
cite="mid:956C9CAAF4A240448746DF9626066ADC9D1E15FE@SABEXCH01.teletica.local"
type="cite">
<pre wrap="">La cantidad de direcciones IP que nos atacaron inicialmente se han reducido sustancialmente; sin embargo, la mayoría de clientes han sido notificados para que utilizaran antivirus o revisaran sus computadoras. Eso me hace pensar que el botnet sí se puede erradicar con algunas de las herramientas actuales.
Los mantendré con retroalimentación.
Saludos,
Francisco Vargas Piedra
-----Mensaje original-----
De: <a class="moz-txt-link-abbreviated" href="mailto:dns-esp-bounces@listas.nic.cl">dns-esp-bounces@listas.nic.cl</a> [<a class="moz-txt-link-freetext" href="mailto:dns-esp-bounces@listas.nic.cl">mailto:dns-esp-bounces@listas.nic.cl</a>] En nombre de Pablo Jiménez
Enviado el: viernes, 01 de junio de 2012 10:57 a.m.
Para: <a class="moz-txt-link-abbreviated" href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>
Asunto: Re: [dns-esp] Ataque a mis DNS
Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.
Saludos.
On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Ah correcto :-) Efectivamente, es un punto interesante.
Alguno tiene cifras para compartir? paquetes por segundo, queries por
segundo, cantidad de IPs que estan detectando ?
s2
Carlos
On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
</pre>
<blockquote type="cite">
<pre wrap="">lo se, me refiero a que, no ha sido tragico ( por el tamano de los
paquetes )
Salu2
On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es
una herramienta para _otro_ tipo de amenazas.
s2
Carlos
On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Estimados,
aca en la Universidad de chile estamos empezando a ver los
coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que
coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo
paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o
entrante los mantendre informados, y de ser saliente, solicitare a
los organismos que auditen las maquinas y de ser posible obtener
imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos,
Francisco Vargas Piedra
-----Mensaje original-----
De: <a class="moz-txt-link-abbreviated" href="mailto:dns-esp-bounces@listas.nic.cl">dns-esp-bounces@listas.nic.cl</a>
[<a class="moz-txt-link-freetext" href="mailto:dns-esp-bounces@listas.nic.cl">mailto:dns-esp-bounces@listas.nic.cl</a>] En nombre de Juan Manuel
Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
Para: DNS en español
Asunto: Re: [dns-esp] Ataque a mis DNS
</pre>
<blockquote type="cite">
<pre wrap=""> -p udp --dport 53 -m string --from 50 --algo bm --hex-string
'|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string
'|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds
60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el
ataque en caso de que se reactive el botnet; entonces preciso
tener bastante retroalimentación para no afectar a nuestros
clientes con las reglas que vayamos a incluir.
</pre>
</blockquote>
<pre wrap="">yo pondría las reglas comentadas en el firewall (para activarlas
rápido )y por mientras solamente loguearia a los que hagan más de
n peticiones por segundo, así conoces el comportamiento normal de
la red, lo que básico para determinar cuando se convierte en anormal.
_______________________________________________
dns-esp mailing list
<a class="moz-txt-link-abbreviated" href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>
<a class="moz-txt-link-freetext" href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a>
_______________________________________________
dns-esp mailing list
<a class="moz-txt-link-abbreviated" href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>
<a class="moz-txt-link-freetext" href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a>
</pre>
</blockquote>
<pre wrap="">_______________________________________________
dns-esp mailing list
<a class="moz-txt-link-abbreviated" href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>
<a class="moz-txt-link-freetext" href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a>
</pre>
</blockquote>
</blockquote>
<pre wrap="">
</pre>
</blockquote>
<pre wrap="">_______________________________________________
dns-esp mailing list
<a class="moz-txt-link-abbreviated" href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>
<a class="moz-txt-link-freetext" href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a>
</pre>
</blockquote>
<pre wrap="">
--
Pablo Jiménez
_______________________________________________
dns-esp mailing list
<a class="moz-txt-link-abbreviated" href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>
<a class="moz-txt-link-freetext" href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a>
_______________________________________________
dns-esp mailing list
<a class="moz-txt-link-abbreviated" href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>
<a class="moz-txt-link-freetext" href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a>
</pre>
</blockquote>
<br>
</body>
</html>