Estimados
Por aca en la utfsm estamos viendo queries ANY hacia el dominio aca.cl, las IP del log son todas (o casi) de china.
saludos
----- Original Message ----- From: "Nelson Lopez V." tuxero@gmail.com To: dns-esp@listas.nic.cl Sent: Friday, June 1, 2012 12:17:31 PM Subject: Re: [dns-esp] Ataque a mis DNS
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp