La cantidad de direcciones IP que nos atacaron inicialmente se han reducido sustancialmente; sin embargo, la mayoría de clientes han sido notificados para que utilizaran antivirus o revisaran sus computadoras. Eso me hace pensar que el botnet sí se puede erradicar con algunas de las herramientas actuales.
Los mantendré con retroalimentación.
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Pablo Jiménez Enviado el: viernes, 01 de junio de 2012 10:57 a.m. Para: dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Ataque a mis DNS
Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.
Saludos.
On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:
Ah correcto :-) Efectivamente, es un punto interesante.
Alguno tiene cifras para compartir? paquetes por segundo, queries por segundo, cantidad de IPs que estan detectando ?
s2
Carlos
On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
lo se, me refiero a que, no ha sido tragico ( por el tamano de los paquetes )
Salu2
On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.
s2
Carlos
On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
-- Pablo Jiménez _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp