Hola a todos,
Desde hace unas dos semanas estoy recibiendo en los DNS que sirven las zonas reversas de los bloques de IPs de LACNIC, miles y miles de consultas por el pseudo-RR "ANY", lo que parece ser un patron de ataque que se esta observando en otras partes de Internet también.
Por ahora no afecta el servicio, pero estoy empezando a evaluar herramientas para mitigar esto, una de ellas es el 'rate-limiting patch' para BIND que esta circulando, y la otra es directamente, filtrar las consultas por 'ANY'.
La pregunta para la lista es si conocen algun software que haga un uso legitimo de consultas 'ANY' _en una zona reversa_. A mi no se me ocurre ninguno, pero me gustaria consultar la opinion de uds.
Saludos y gracias!
Carlos
On Sep 12, 2012, at 6:11 AM, Carlos M. martinez carlosm3011@gmail.com wrote:
filtrar las consultas por 'ANY'.
Hacer esto efectivamente, es costoso y complicado a nivel de FW. por ahi hay una regla de iptables que sirve para algunos casos pero no para todos.
La pregunta para la lista es si conocen algun software que haga un uso legitimo de consultas 'ANY' _en una zona reversa_. A mi no se me ocurre ninguno, pero me gustaria consultar la opinion de uds.
Creo que algunos servidores de correo (qmail), tiene este comportamiento [1], pero normalmente clientes no hacen solicitudes de tipo ANY.
[1] http://fanf.livejournal.com/122220.html
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
Hola!
El 12 de septiembre de 2012 12:29, Francisco Obispo fobispo@isc.orgescribió:
On Sep 12, 2012, at 6:11 AM, Carlos M. martinez carlosm3011@gmail.com wrote:
filtrar las consultas por 'ANY'.
Hacer esto efectivamente, es costoso y complicado a nivel de FW. por ahi hay una regla de iptables que sirve para algunos casos pero no para todos.
Creo que Carlos se refería al parche de Vixie para bind, no a un acercamiento por FW... http://www.redbarn.org/dns/ratelimits
La pregunta para la lista es si conocen algun software que haga un uso legitimo de consultas 'ANY' _en una zona reversa_. A mi no se me ocurre ninguno, pero me gustaria consultar la opinion de uds.
Creo que algunos servidores de correo (qmail), tiene este comportamiento [1], pero normalmente clientes no hacen solicitudes de tipo ANY.
Cierto! no creo que sea un grupo muy gigante de implementaciones como qmail las que ocupan lo de la consulta ANY, pero si se piensa en el parche de ratelimits, esto sólo serviría para disminuir las consultas ANY en períodos de "tempestad" por bloques definidos en unas ventanas, que también son definidas.
O sea, si estoy entiendo bien el funcionamiento del parche, si un resolver está haciendo las consultas, se limita las consultas al /24 al que pertenece ese resolver, pero no se bloquean todas las consultas en general ¿no?
Saludos!
Hola!
gracias a todos por las respuestas, y si conozco el caso de qmail y de otros MTAs aparentemente, pero en mi caso mis zonas son zonas _reversas_ (hijas de in-addr.arpa y de ip6.arpa), en ese caso es donde no se me ocurre ningun uso legitimo.
s2
Carlos
On 9/12/12 1:26 PM, Mauricio Vergara Ereche wrote:
Hola!
El 12 de septiembre de 2012 12:29, Francisco Obispo <fobispo@isc.org mailto:fobispo@isc.org> escribió:
On Sep 12, 2012, at 6:11 AM, Carlos M. martinez <carlosm3011@gmail.com <mailto:carlosm3011@gmail.com>> wrote: > filtrar las > consultas por 'ANY'. Hacer esto efectivamente, es costoso y complicado a nivel de FW. por ahi hay una regla de iptables que sirve para algunos casos pero no para todos.
Creo que Carlos se refería al parche de Vixie para bind, no a un acercamiento por FW... http://www.redbarn.org/dns/ratelimits
> La pregunta para la lista es si conocen algun software que haga un uso > legitimo de consultas 'ANY' _en una zona reversa_. A mi no se me ocurre > ninguno, pero me gustaria consultar la opinion de uds. Creo que algunos servidores de correo (qmail), tiene este comportamiento [1], pero normalmente clientes no hacen solicitudes de tipo ANY. [1] http://fanf.livejournal.com/122220.html
Cierto! no creo que sea un grupo muy gigante de implementaciones como qmail las que ocupan lo de la consulta ANY, pero si se piensa en el parche de ratelimits, esto sólo serviría para disminuir las consultas ANY en períodos de "tempestad" por bloques definidos en unas ventanas, que también son definidas.
O sea, si estoy entiendo bien el funcionamiento del parche, si un resolver está haciendo las consultas, se limita las consultas al /24 al que pertenece ese resolver, pero no se bloquean todas las consultas en general ¿no?
Saludos!
-- Mauricio Vergara Ereche +56 99 1241718 Viña del Mar/Santiago - CHILE http://mave.cero32.cl
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp