Lectura...
https://isc.sans.edu/diary/DNS+ANY+Request+Cannon+-+Need+More +Packets/13261
Se supone que son chinos buscando DNS mal configurados...
la tecnica que ocupan es la amplificacion...
analiza tus dns para ver que tal andan
saludos!
El jue, 31-05-2012 a las 20:31 +0000, Francisco Vargas Piedra escribió:
Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp