Un poco pobre la explicación en el Blog de Stephane.
A pesar de que hacen una mención de que este problema fue probablemente
debido a un DDoS, los detalles son muy escasos como para poder aprender
algo de la situación ☹
Tal vez las mejores lecciones al final terminan siendo las de siempre:
- Tu sistema de monitoreo es muy importante: hay que constantemente
cuidarlo, mantenerlo y mejorarlo
- No pongas todos tus huevos en la misma canasta (diversifica lo máximo
posible: Hardware, Software y Enlaces)
- Dentro de lo posible, intenta sobeaprovisionar tus servicios críticos.
Ah! y aunque la recomendación venga de muy cerca, el DNS aún cuando parece
ser un servicio simple, es importante y crítico! Asi que no lo descuidemos
😊
Saludos!
On Mon, Sep 14, 2020 at 11:07 AM Fernando Gont <fgont(a)si6networks.com>
wrote:
> FYI
>
>
> -------- Forwarded Message --------
> Subject: [dns-operations] DNS attacks against FR/BE/NL resolvers of
> Internet access providers
> Date: Mon, 14 Sep 2020 15:14:59 +0200
> From: Stephane Bortzmeyer <bortzmeyer(a)nic.fr>
> Organization: NIC France
> To: dns-operations(a)lists.dns-oarc.net
>
> On 1 and 2 September 2020, several French IAPs (Internet Access
> Providers), including SFR and Bouygues, were "down". Their DNS
> resolvers were offline, and it does indeed seem that this was the
> result of an attack carried out against these resolvers.
>
>
> https://www.afnic.fr/en/resources/blog/about-the-attack-on-french-isps-dns-…
>
> _______________________________________________
> dns-operations mailing list
> dns-operations(a)lists.dns-oarc.net
> https://lists.dns-oarc.net/mailman/listinfo/dns-operations
>
> _______________________________________________
> Seguridad mailing list
> Seguridad(a)lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
--
Mauricio Vergara Ereche
about.me/mave
Hola, saludos!
Quería avisar que ayer dieron la fecha del DNS Flag Day 2020:
2020-10-01.
Esta vez se trata de dos cosas: permitir TCP en el DNS, y
usar valores por defecto de buffer EDNS de 1232 bytes.
Ese día los participantes del proyecto (Infoblox, ISC,
Bluecat, PowerDNS, entre otros) comenzarán a poner en sus
versiones de software el valor de buffer indicado. Además
los resolvers públicos de Google (8.8.8.8) y Quad9 (9.9.9.9)
comenzarán gradualmente también a limitar sus consultas a
los autoritativos con ese valor.
A esta altura todos los DNS modernos saben negociar cualquier
valor de EDNS. Lo más importante es que si una respuesta no
alcanza dentro de esos 1232 bytes, los clientes se deben
pasar a TCP, y es acá donde hay que además asegurarse que
no existen filtros ni bloqueos. O está el riesgo de quedar
con sus dominios desconectados.
En la página del proyecto hay herramientas para probar y más
información:
https://dnsflagday.net/2020/index-es.html
Hugo