Nosotros hemos percibido menos tráfico ANY de los botnets que infectaron nuestra red. Por el momento la solución de las reglas de IPTABLES que comenté la semana pasada nos han funcionado excelente y no han habido quejas en el servicio que brindamos.
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Yonathan Dossow Enviado el: lunes, 04 de junio de 2012 08:53 a.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
Estimados
Por aca en la utfsm estamos viendo queries ANY hacia el dominio aca.cl, las IP del log son todas (o casi) de china.
saludos
----- Original Message ----- From: "Nelson Lopez V." tuxero@gmail.com To: dns-esp@listas.nic.cl Sent: Friday, June 1, 2012 12:17:31 PM Subject: Re: [dns-esp] Ataque a mis DNS
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp