Buenas tardes,

 

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

 

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes.  Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

 

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

 

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):

May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied

May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied

Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

 

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

 

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

 

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

 

LES RUEGO AYUDARME CON ESTE ASUNTO.

 

Saludos,

Ing. Francisco Vargas

_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp