Estimados aporto con  granitos de arena en estadisticas

Date flow start
Duration Proto Src IP Addr:Port
Dst IP Addr:Port Packets Bytes Flows
6/1/2012 08:25:34.409 902,272 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 11.0 M 724.9 M 1
6/1/2012 08:25:34.409 902,272 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 11.0 M 724.8 M 1
6/1/2012 08:31:56.100 904,832 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48383 3.2 M 1
6/1/2012 08:31:56.100 904,832 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 31353 2.1 M 1
6/1/2012 08:31:56.164 904,896 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48406 3.2 M 1
6/1/2012 08:31:56.099 904,960 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48387 3.2 M 1
6/1/2012 08:31:56.099 904,960 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48414 3.2 M 1
6/1/2012 08:31:56.163 904,768 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48375 3.2 M 1


Sigo reuniendo Info


On 06/01/2012 01:20 PM, Francisco Vargas Piedra wrote: 
La cantidad de direcciones IP que nos atacaron inicialmente se han reducido sustancialmente; sin embargo, la mayoría de clientes han sido notificados para que utilizaran antivirus o revisaran sus computadoras. Eso me hace pensar que el botnet sí se puede erradicar con algunas de las herramientas actuales.

Los mantendré con retroalimentación.

Saludos,
Francisco Vargas Piedra

-----Mensaje original-----
De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Pablo Jiménez
Enviado el: viernes, 01 de junio de 2012 10:57 a.m.
Para: dns-esp@listas.nic.cl
Asunto: Re: [dns-esp] Ataque a mis DNS

Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.

Saludos.

On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:

Ah correcto :-) Efectivamente, es un punto interesante.

Alguno tiene cifras para compartir? paquetes por segundo, queries por 
segundo, cantidad de IPs que estan detectando ?

s2

Carlos

On 6/1/12 1:26 PM, Nelson Lopez V. wrote:

lo se, me refiero a que, no ha sido tragico ( por el tamano de los 
paquetes )

Salu2

On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:

Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es 
una herramienta para _otro_ tipo de amenazas.

s2

Carlos

On 6/1/12 1:17 PM, Nelson Lopez V. wrote:

Estimados,

aca en la Universidad de chile estamos empezando a ver los 
coletasos  de estas botnets

estamos viendo conexiones desde la IP 46.249.48.59 que 
coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.

aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo 
paquetes mayores al estandar, por lo que no ha sido tragico.

aun estamos tratando de verificar si es trafico saliente o 
entrante los mantendre informados, y de ser saliente, solicitare a 
los organismos que auditen las maquinas  y de ser posible  obtener 
imagenes de los discos.

Saludos.




On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:

Excelente. Me gusta esa idea.

Les agradezco a todos la ayuda. Los mantendré informados.

Saludos a todos,
Francisco Vargas Piedra

-----Mensaje original-----
De: dns-esp-bounces@listas.nic.cl 
[mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel 
Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m.
Para: DNS en español
Asunto: Re: [dns-esp] Ataque a mis DNS


   -p udp --dport 53 -m string --from 50 --algo bm --hex-string 
'|0000FF0001|' -m recent --set --name dnsanyquery

   -p udp --dport 53 -m string --from 50 --algo bm --hex-string 
'|0000FF0001|'  -m recent --name dnsanyquery --rcheck --seconds 
60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el 
ataque en caso de que se reactive el botnet; entonces preciso 
tener bastante retroalimentación para no afectar a nuestros 
clientes con las reglas que vayamos a incluir.

yo pondría las reglas comentadas en el firewall (para activarlas 
rápido )y por mientras solamente loguearia a los que hagan más de 
n peticiones por segundo, así conoces el comportamiento normal de 
la red, lo que básico para determinar cuando se convierte en anormal.
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp

_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp


        

        
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp


      

      
--
Pablo Jiménez
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp