Hola Carlos,

Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?

Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.

Saludos

De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS

Hola Francisco,

entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?

No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.

s2

Carlos

On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/INhttp://ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/INhttp://ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos, Ing. Francisco Vargas

dns-esp mailing list

dns-esp@listas.nic.clmailto:dns-esp@listas.nic.cl

https://listas.nic.cl/mailman/listinfo/dns-esp

Hola don Francisco Obispo,

¿Significa que otros proveedores han sufrido este mismo ataque con peticiones a "ripe.net"?

Te agradecería infinitamente si amplías este tema y me reenvías toda la información.

Muchìsimas gracias.

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Obispo Enviado el: jueves, 31 de mayo de 2012 02:50 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

Estimado Francisco,

En otra lista de correo de la que formo parte, se ha estado discutiendo el tema de tráfico excesivo a RIPE.NET,

Les he enviado copia de tu correo, y cualquier novedad te la haré saber.

Un abrazo.

On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:

Hola Carlos,

Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?

Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.

Saludos

De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS

Hola Francisco,

entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?

No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.

s2

Carlos

On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos, Ing. Francisco Vargas

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Correcto, esta mañana intenté contactar varios clientes para poder entrar a sus computadoras y dar con el virus; sin embargo, el ataque se ha detenido (quizás por medidas de antivirus o actualizaciones). Haré todos mis esfuerzos por conseguir esa imagen.

Saludos tocayo.

-----Mensaje original----- De: Francisco Obispo [mailto:fobispo@isc.org] Enviado el: jueves, 31 de mayo de 2012 02:59 p.m. Para: Francisco Vargas Piedra CC: DNS en español; Ricardo Barquero Carranza Asunto: Re: [dns-esp] Ataque a mis DNS

On May 31, 2012, at 1:55 PM, Francisco Vargas Piedra wrote:

Hola don Francisco Obispo,

¿Significa que otros proveedores han sufrido este mismo ataque con peticiones a "ripe.net"?

En efecto, sin embargo, la parte mas crítica es poder identificar como se originan estas peticiones, por lo cual sería extremadamente útil para la comunidad, lograr conseguir una imagen de disco de una computadora que genere este tipo de tráfico.

El comentario de Sebastián Castro con respecto a la causa, da en el clavo, nosotros en ISC hemos tenido problemas similares por tener la zona ISC.ORG firmada con DNSSEC.

Saludos

Te agradecería infinitamente si amplías este tema y me reenvías toda la información.

Muchìsimas gracias.

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Obispo Enviado el: jueves, 31 de mayo de 2012 02:50 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

Estimado Francisco,

En otra lista de correo de la que formo parte, se ha estado discutiendo el tema de tráfico excesivo a RIPE.NET,

Les he enviado copia de tu correo, y cualquier novedad te la haré saber.

Un abrazo.

On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:

...

Hola Carlos,

Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?

Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.

Saludos

De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS

Hola Francisco,

entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?

No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.

s2

Carlos

On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos, Ing. Francisco Vargas

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE

Hola,

no conozco una solucion dentro del mismo BIND, se me ocurre que se podria implementar algo que arme la lista de acceso dinamicamente (alguna vez implemente algo asi para controlar spammers), pero no conozco una solucion lista para usar que no involucre probablemente comprar hardware, etc.

s2

Carlos

On 5/31/12 5:47 PM, Francisco Vargas Piedra wrote:

Hola Carlos,

Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?

Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.

Saludos

*De:*Carlos M. Martinez [mailto:carlosm3011@gmail.com] *Enviado el:* jueves, 31 de mayo de 2012 02:42 p.m. *Para:* DNS en español *CC:* Francisco Vargas Piedra *Asunto:* Re: [dns-esp] Ataque a mis DNS

Hola Francisco,

entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?

No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.

s2

Carlos

On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote:

Buenas tardes,

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):

May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied

May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied

Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos,

Ing. Francisco Vargas

---

dns-esp mailing list dns-esp@listas.nic.cl mailto:dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Sería posible (antes de mitigar), tener acceso a una de esas computadoras infectadas, estaríamos interesados en conocer cómo se está generando este tráfico.

Si es posible, por favor crea una imagen de disco de una de las computadoras infectadas para que podamos analizarla.

gracias!

On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:

Hola Carlos,

Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?

Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.

Saludos

De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS

Hola Francisco,

entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?

No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.

s2

Carlos

On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos, Ing. Francisco Vargas

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE

On 01/06/12 09:10, Francisco Vargas Piedra wrote:

...

La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las >respuestas.

Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue denegada por no pertenecer a nuestra red. Lo que te quiero decir es que se detectó esa petición justo antes de que empezara el ataque con las direcciones de mi propia red. A pesar de que se denegó me pareció curioso y muy coincidente esta petición; por lo tanto escribí esa información por si acaso alguien más la ha visto; podría ser la dirección ip del C&C que activa el botnet; pero sería mera especulación.

Eso es relevante y muy util. Aparentemente alguien fuera de tu red trato de usar tu servidor como plataforma para el ataque, debe ser una fase mas.

Yo sugeriria que, ademas de lo que Francisco Obispo te pidio, trataras de guardar todos los logs que tengas. Recolectar las direcciones involucradas en un DDoS es siempre util para rastrear las fuentes.

Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE ME RECIBIERON. En lo que pueda estoy a sus servicios.

No se preocupe, la comunidad es nueva en si y queremos hacerla mas grande y mas fuerte.

Saludos!

Saludos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Sebastian Castro Enviado el: jueves, 31 de mayo de 2012 02:55 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

On 01/06/12 08:31, Francisco Vargas Piedra wrote:

...

Buenas tardes,

Hola Francisco,

...

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.

...

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.

...

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):

May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied

May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied

Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.

...

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.

La alternativa es que utilices reglas de firewall para limitar el numero de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de estado posible por cliente, si no terminaras matando el router/firewall

...

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos,

...

Saludos,

Ing. Francisco Vargas

_______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

_______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Hola Sergio,

Muchas gracias por tu respuesta ¿ustedes utilizan reglas de firewall en el mismo iptables o tienen un firewall externo de protección al servidor DNS? En cuanto a las reglas, ¿descartan los paquetes por repetición de consultas ANY, similar a:

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.

Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Sergio Ramirez Enviado el: jueves, 31 de mayo de 2012 04:07 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

Hola:

  Desde el lunes 28 hasta el día de hoy, nuestro firewall ha detectado un incremento importante de consultas tipo ANY simultáneas desde varias IPs dirigidas a uno de nuestros servidores DNS. El servidor nunca las ha recibido pues el firwall las descartó.

En este momento este tipo de comportamiento se ha reducido bastante. Lamentablemente, no hemos capturado estos paquetes para analizar si las consultas eran por el nombre "ripe.net" o no.

Saludos

Sergio Ramírez

El 31/05/12 18:10, Francisco Vargas Piedra escribió:

...

La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las >respuestas.

Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue denegada por no pertenecer a nuestra red. Lo que te quiero decir es que se detectó esa petición justo antes de que empezara el ataque con las direcciones de mi propia red. A pesar de que se denegó me pareció curioso y muy coincidente esta petición; por lo tanto escribí esa información por si acaso alguien más la ha visto; podría ser la dirección ip del C&C que activa el botnet; pero sería mera especulación.

Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE ME RECIBIERON. En lo que pueda estoy a sus servicios.

Saludos, Francisco Vargas Piedra

2

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Sebastian Castro Enviado el: jueves, 31 de mayo de 2012 02:55 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

On 01/06/12 08:31, Francisco Vargas Piedra wrote:

...

Buenas tardes,

Hola Francisco,

...

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes.
Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.

...

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.

...

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):

May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied

May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied

Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.

...

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.

La alternativa es que utilices reglas de firewall para limitar el numero de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de estado posible por cliente, si no terminaras matando el router/firewall

...

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos,

...

Saludos,

Ing. Francisco Vargas

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Excelente. Me gusta esa idea.

Les agradezco a todos la ayuda. Los mantendré informados.

Saludos a todos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'  -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.

yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.

s2

Carlos

On 6/1/12 1:17 PM, Nelson Lopez V. wrote:

Estimados,

aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets

estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.

aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.

aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.

Saludos.

On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:

...

Excelente. Me gusta esa idea.

Les agradezco a todos la ayuda. Los mantendré informados.

Saludos a todos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

...

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.

yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Ah correcto :-) Efectivamente, es un punto interesante.

Alguno tiene cifras para compartir? paquetes por segundo, queries por segundo, cantidad de IPs que estan detectando ?

s2

Carlos

On 6/1/12 1:26 PM, Nelson Lopez V. wrote:

lo se, me refiero a que, no ha sido tragico ( por el tamano de los paquetes )

Salu2

On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:

...

Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.

s2

Carlos

On 6/1/12 1:17 PM, Nelson Lopez V. wrote:

...

Estimados,

aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets

estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.

aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.

aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.

Saludos.

On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:

...

Excelente. Me gusta esa idea.

Les agradezco a todos la ayuda. Los mantendré informados.

Saludos a todos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

...

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.

yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

La cantidad de direcciones IP que nos atacaron inicialmente se han reducido sustancialmente; sin embargo, la mayoría de clientes han sido notificados para que utilizaran antivirus o revisaran sus computadoras. Eso me hace pensar que el botnet sí se puede erradicar con algunas de las herramientas actuales.

Los mantendré con retroalimentación.

Saludos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Pablo Jiménez Enviado el: viernes, 01 de junio de 2012 10:57 a.m. Para: dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Ataque a mis DNS

Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.

Saludos.

On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:

Ah correcto :-) Efectivamente, es un punto interesante.

Alguno tiene cifras para compartir? paquetes por segundo, queries por segundo, cantidad de IPs que estan detectando ?

s2

Carlos

On 6/1/12 1:26 PM, Nelson Lopez V. wrote:

...

lo se, me refiero a que, no ha sido tragico ( por el tamano de los paquetes )

Salu2

On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:

...

Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.

s2

Carlos

On 6/1/12 1:17 PM, Nelson Lopez V. wrote:

...

Estimados,

aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets

estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.

aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.

aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.

Saludos.

On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:

...

Excelente. Me gusta esa idea.

Les agradezco a todos la ayuda. Los mantendré informados.

Saludos a todos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

...

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.

yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

-- Pablo Jiménez _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Buenos días,

Acá en Costa Rica mitigamos el ataque utilizando IPTABLES con las siguientes reglas:

sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsquery sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j DROP sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j LOG --log-prefix "ATACANTE- " --log-level 4

La última línea la utilizamos para tener logs en syslog marcados con "ATACANTE" y poder encontrarlos fácilmente con grep.

Evidentemente esto sólo detendrá que las peticiones lleguen al servicio de DNS. En nuestro caso hemos ido contactando a los clientes y al parecer corriendo antivirus (aún no precisamos cuál) se ha ido eliminando el botnet.

Los mantendré al tanto. Agradecería cualquier retroalimentación.

Saludos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Nelson Lopez V. Enviado el: viernes, 01 de junio de 2012 10:18 a.m. Para: dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Ataque a mis DNS

Estimados,

aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets

estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.

aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.

aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.

Saludos.

On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:

Excelente. Me gusta esa idea.

Les agradezco a todos la ayuda. Los mantendré informados.

Saludos a todos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

...

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.

yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Así es.

En estos momentos es más importante obtener una imagen de una computadora infectada para determinar la naturaleza de lo que está pasando

saludos

On Jun 1, 2012, at 9:49 AM, Alex Ojeda wrote:

No entren en pánico... :) Creo que este tema recién está viendo cómo salir a flote... Me refiero a que puede ser parte de un ataque de mayor magnitud y solo recién se estén haciendo pruebas... Deben estar identificando targets y creando algunas db con data.

Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE

Nosotros hemos percibido menos tráfico ANY de los botnets que infectaron nuestra red. Por el momento la solución de las reglas de IPTABLES que comenté la semana pasada nos han funcionado excelente y no han habido quejas en el servicio que brindamos.

Saludos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Yonathan Dossow Enviado el: lunes, 04 de junio de 2012 08:53 a.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

Estimados

Por aca en la utfsm estamos viendo queries ANY hacia el dominio aca.cl, las IP del log son todas (o casi) de china.

saludos

----- Original Message ----- From: "Nelson Lopez V." tuxero@gmail.com To: dns-esp@listas.nic.cl Sent: Friday, June 1, 2012 12:17:31 PM Subject: Re: [dns-esp] Ataque a mis DNS

Estimados,

aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets

estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.

aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.

aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.

Saludos.

On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:

Excelente. Me gusta esa idea.

Les agradezco a todos la ayuda. Los mantendré informados.

Saludos a todos, Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

...

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP

Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.

yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Uno de los clientes afectados nos reportó una actividad inusual por parte de esta dirección IP de China: 183.192.168.14

Hemos detectado que esa dirección ha interactuado con algunos de nuestros clientes afectados; no sé si servirá como información valiosa.

Saludos,

Francisco Vargas Piedra

-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Obispo Enviado el: jueves, 31 de mayo de 2012 03:26 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS

El problema de bloquear los quueries ANY es que algunos servidores de correo lo utilizan para obtener la lista de RRs, al bloquearlo se corre el riesgo de romper mas que el DNS.

Aunque la sugerencia de usar un rate limiting como se propone aqui podría funcionar dependiendo de la cantidad de tráfico que se reciba.

saludos

On May 31, 2012, at 2:20 PM, José Miguel Parrella Romero wrote:

Del artículo mencionado por Gino, para Netfliter (iptables)

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery

-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP Jose 2012/5/31 Francisco Vargas Piedra f.vargas@cabletica.com Buenas tardes,

Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.

He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.

¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.

Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):

May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied

May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied

Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):

29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)

Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.

¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?

LES RUEGO AYUDARME CON ESTE ASUNTO.

Saludos,

Ing. Francisco Vargas

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

---

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp

Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE

dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp