Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/INhttp://ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/INhttp://ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos, Ing. Francisco Vargas
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote:
Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola Carlos,
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.
Saludos
De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/INhttp://ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/INhttp://ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos, Ing. Francisco Vargas
dns-esp mailing list
dns-esp@listas.nic.clmailto:dns-esp@listas.nic.cl
Estimado Francisco,
En otra lista de correo de la que formo parte, se ha estado discutiendo el tema de tráfico excesivo a RIPE.NET,
Les he enviado copia de tu correo, y cualquier novedad te la haré saber.
Un abrazo.
On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:
Hola Carlos,
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.
Saludos
De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos, Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
Hola don Francisco Obispo,
¿Significa que otros proveedores han sufrido este mismo ataque con peticiones a "ripe.net"?
Te agradecería infinitamente si amplías este tema y me reenvías toda la información.
Muchìsimas gracias.
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Obispo Enviado el: jueves, 31 de mayo de 2012 02:50 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
Estimado Francisco,
En otra lista de correo de la que formo parte, se ha estado discutiendo el tema de tráfico excesivo a RIPE.NET,
Les he enviado copia de tu correo, y cualquier novedad te la haré saber.
Un abrazo.
On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:
Hola Carlos,
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.
Saludos
De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos, Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
On May 31, 2012, at 1:55 PM, Francisco Vargas Piedra wrote:
Hola don Francisco Obispo,
¿Significa que otros proveedores han sufrido este mismo ataque con peticiones a "ripe.net"?
En efecto, sin embargo, la parte mas crítica es poder identificar como se originan estas peticiones, por lo cual sería extremadamente útil para la comunidad, lograr conseguir una imagen de disco de una computadora que genere este tipo de tráfico.
El comentario de Sebastián Castro con respecto a la causa, da en el clavo, nosotros en ISC hemos tenido problemas similares por tener la zona ISC.ORG firmada con DNSSEC.
Saludos
Te agradecería infinitamente si amplías este tema y me reenvías toda la información.
Muchìsimas gracias.
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Obispo Enviado el: jueves, 31 de mayo de 2012 02:50 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
Estimado Francisco,
En otra lista de correo de la que formo parte, se ha estado discutiendo el tema de tráfico excesivo a RIPE.NET,
Les he enviado copia de tu correo, y cualquier novedad te la haré saber.
Un abrazo.
On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:
Hola Carlos,
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.
Saludos
De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos, Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
Correcto, esta mañana intenté contactar varios clientes para poder entrar a sus computadoras y dar con el virus; sin embargo, el ataque se ha detenido (quizás por medidas de antivirus o actualizaciones). Haré todos mis esfuerzos por conseguir esa imagen.
Saludos tocayo.
-----Mensaje original----- De: Francisco Obispo [mailto:fobispo@isc.org] Enviado el: jueves, 31 de mayo de 2012 02:59 p.m. Para: Francisco Vargas Piedra CC: DNS en español; Ricardo Barquero Carranza Asunto: Re: [dns-esp] Ataque a mis DNS
On May 31, 2012, at 1:55 PM, Francisco Vargas Piedra wrote:
Hola don Francisco Obispo,
¿Significa que otros proveedores han sufrido este mismo ataque con peticiones a "ripe.net"?
En efecto, sin embargo, la parte mas crítica es poder identificar como se originan estas peticiones, por lo cual sería extremadamente útil para la comunidad, lograr conseguir una imagen de disco de una computadora que genere este tipo de tráfico.
El comentario de Sebastián Castro con respecto a la causa, da en el clavo, nosotros en ISC hemos tenido problemas similares por tener la zona ISC.ORG firmada con DNSSEC.
Saludos
Te agradecería infinitamente si amplías este tema y me reenvías toda la información.
Muchìsimas gracias.
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Obispo Enviado el: jueves, 31 de mayo de 2012 02:50 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
Estimado Francisco,
En otra lista de correo de la que formo parte, se ha estado discutiendo el tema de tráfico excesivo a RIPE.NET,
Les he enviado copia de tu correo, y cualquier novedad te la haré saber.
Un abrazo.
On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:
Hola Carlos,
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.
Saludos
De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos, Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
On 01/06/12 09:11, Francisco Vargas Piedra wrote:
Correcto, esta mañana intenté contactar varios clientes para poder entrar a sus computadoras y dar con el virus; sin embargo, el ataque se ha detenido (quizás por medidas de antivirus o actualizaciones). Haré todos mis esfuerzos por conseguir esa imagen.
En mi experiencia, esos ataques paran porque el controlador de la botnet logro su objetivo o quiso parar el ataque. Asi que sigue siendo util conseguir una imagen de una de las victimas.
Saludos!
Saludos tocayo.
-----Mensaje original----- De: Francisco Obispo [mailto:fobispo@isc.org] Enviado el: jueves, 31 de mayo de 2012 02:59 p.m. Para: Francisco Vargas Piedra CC: DNS en español; Ricardo Barquero Carranza Asunto: Re: [dns-esp] Ataque a mis DNS
On May 31, 2012, at 1:55 PM, Francisco Vargas Piedra wrote:
Hola don Francisco Obispo,
¿Significa que otros proveedores han sufrido este mismo ataque con peticiones a "ripe.net"?
En efecto, sin embargo, la parte mas crítica es poder identificar como se originan estas peticiones, por lo cual sería extremadamente útil para la comunidad, lograr conseguir una imagen de disco de una computadora que genere este tipo de tráfico.
El comentario de Sebastián Castro con respecto a la causa, da en el clavo, nosotros en ISC hemos tenido problemas similares por tener la zona ISC.ORG firmada con DNSSEC.
Saludos
Te agradecería infinitamente si amplías este tema y me reenvías toda la información.
Muchìsimas gracias.
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Obispo Enviado el: jueves, 31 de mayo de 2012 02:50 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
Estimado Francisco,
En otra lista de correo de la que formo parte, se ha estado discutiendo el tema de tráfico excesivo a RIPE.NET,
Les he enviado copia de tu correo, y cualquier novedad te la haré saber.
Un abrazo.
On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:
Hola Carlos,
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.
Saludos
De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos, Ing. Francisco Vargas
_______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
_______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
_______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola,
no conozco una solucion dentro del mismo BIND, se me ocurre que se podria implementar algo que arme la lista de acceso dinamicamente (alguna vez implemente algo asi para controlar spammers), pero no conozco una solucion lista para usar que no involucre probablemente comprar hardware, etc.
s2
Carlos
On 5/31/12 5:47 PM, Francisco Vargas Piedra wrote:
Hola Carlos,
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.
Saludos
*De:*Carlos M. Martinez [mailto:carlosm3011@gmail.com] *Enviado el:* jueves, 31 de mayo de 2012 02:42 p.m. *Para:* DNS en español *CC:* Francisco Vargas Piedra *Asunto:* Re: [dns-esp] Ataque a mis DNS
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote:
Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl mailto:dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
On 05/31/2012 04:47 PM, Francisco Vargas Piedra escribió:
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
mmm... dependiendo de tu infraestructura en routers/firewalls puede haber algo q limite peticiones, pero es altamente dependiente de lo que tengas.
Similar a lo que estás haciendo es el procedimiento que sale en el RFC 6561, de lectura obligada para quieres administren una red de tamaño relevante:
http://tools.ietf.org/html/rfc6561
Sería posible (antes de mitigar), tener acceso a una de esas computadoras infectadas, estaríamos interesados en conocer cómo se está generando este tráfico.
Si es posible, por favor crea una imagen de disco de una de las computadoras infectadas para que podamos analizarla.
gracias!
On May 31, 2012, at 1:47 PM, Francisco Vargas Piedra wrote:
Hola Carlos,
Muchísimas gracias por tu respuesta. El problema es precisamente que todo el tráfico con peticiones maliciosas se genera de direcciones IP válidas de mi red. Las tengo filtradas por el momento y ya se contactó a los clientes para que hagan algún esfuerzo a nivel de antivirus (es decir, el problema está bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
Lo que digo es que el botnet se instaló en varias computadoras de mis propios clientes y al activarse empezó el ataque; mi DNS intentaba contestar dado que sí pertenecen a la red.
Saludos
De: Carlos M. Martinez [mailto:carlosm3011@gmail.com] Enviado el: jueves, 31 de mayo de 2012 02:42 p.m. Para: DNS en español CC: Francisco Vargas Piedra Asunto: Re: [dns-esp] Ataque a mis DNS
Hola Francisco,
entiendo que las consultas de esta supuesta botnet llegan a tus DNS recusivos verdad ? No puedes simplemente filtrar el trafico DNS hacia tus recursivos y permitir unicamente el que viene de tus redes ?
No me refiero a denegar la recursion en BIND sino a filtrar completamente el trafico, de tal manera que no cargue al servidor.
s2
Carlos
On 5/31/12 5:31 PM, Francisco Vargas Piedra wrote: Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada): May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos, Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
¿Y si filtras a nivel de firewall?
acá un ejemplo en otro puerto pero debe poder adaptarse al del dns
http://bipinkdas.blogspot.com/2008/09/prevent-dos-attack-in-linux.html
bajo control). Sin embargo, ¿no sabes si existe alguna manera o truco de seguridad que impida que direcciones de mis propias redes efectúen tantas peticiones simultáneas?
On 01/06/12 08:31, Francisco Vargas Piedra wrote:
Buenas tardes,
Hola Francisco,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.
La alternativa es que utilices reglas de firewall para limitar el numero de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de estado posible por cliente, si no terminaras matando el router/firewall
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las >respuestas.
Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue denegada por no pertenecer a nuestra red. Lo que te quiero decir es que se detectó esa petición justo antes de que empezara el ataque con las direcciones de mi propia red. A pesar de que se denegó me pareció curioso y muy coincidente esta petición; por lo tanto escribí esa información por si acaso alguien más la ha visto; podría ser la dirección ip del C&C que activa el botnet; pero sería mera especulación.
Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE ME RECIBIERON. En lo que pueda estoy a sus servicios.
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Sebastian Castro Enviado el: jueves, 31 de mayo de 2012 02:55 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
On 01/06/12 08:31, Francisco Vargas Piedra wrote:
Buenas tardes,
Hola Francisco,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.
La alternativa es que utilices reglas de firewall para limitar el numero de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de estado posible por cliente, si no terminaras matando el router/firewall
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
On 01/06/12 09:10, Francisco Vargas Piedra wrote:
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las >respuestas.
Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue denegada por no pertenecer a nuestra red. Lo que te quiero decir es que se detectó esa petición justo antes de que empezara el ataque con las direcciones de mi propia red. A pesar de que se denegó me pareció curioso y muy coincidente esta petición; por lo tanto escribí esa información por si acaso alguien más la ha visto; podría ser la dirección ip del C&C que activa el botnet; pero sería mera especulación.
Eso es relevante y muy util. Aparentemente alguien fuera de tu red trato de usar tu servidor como plataforma para el ataque, debe ser una fase mas.
Yo sugeriria que, ademas de lo que Francisco Obispo te pidio, trataras de guardar todos los logs que tengas. Recolectar las direcciones involucradas en un DDoS es siempre util para rastrear las fuentes.
Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE ME RECIBIERON. En lo que pueda estoy a sus servicios.
No se preocupe, la comunidad es nueva en si y queremos hacerla mas grande y mas fuerte.
Saludos!
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Sebastian Castro Enviado el: jueves, 31 de mayo de 2012 02:55 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
On 01/06/12 08:31, Francisco Vargas Piedra wrote:
Buenas tardes,
Hola Francisco,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.
La alternativa es que utilices reglas de firewall para limitar el numero de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de estado posible por cliente, si no terminaras matando el router/firewall
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Saludos,
Ing. Francisco Vargas
_______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola:
Desde el lunes 28 hasta el día de hoy, nuestro firewall ha
detectado un incremento importante de consultas tipo ANY simultáneas desde varias IPs dirigidas a uno de nuestros servidores DNS. El servidor nunca las ha recibido pues el firwall las descartó. En este momento este tipo de comportamiento se ha reducido bastante. Lamentablemente, no hemos capturado estos paquetes para analizar si las consultas eran por el nombre "ripe.net" o no.
Sergio Ramírez
El 31/05/12 18:10, Francisco Vargas Piedra escribió:
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las >respuestas.
Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue denegada por no pertenecer a nuestra red. Lo que te quiero decir es que se detectó esa petición justo antes de que empezara el ataque con las direcciones de mi propia red. A pesar de que se denegó me pareció curioso y muy coincidente esta petición; por lo tanto escribí esa información por si acaso alguien más la ha visto; podría ser la dirección ip del C&C que activa el botnet; pero sería mera especulación.
Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE ME RECIBIERON. En lo que pueda estoy a sus servicios.
Saludos, Francisco Vargas Piedra
2
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Sebastian Castro Enviado el: jueves, 31 de mayo de 2012 02:55 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
On 01/06/12 08:31, Francisco Vargas Piedra wrote:
Buenas tardes,
Hola Francisco,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.
La alternativa es que utilices reglas de firewall para limitar el numero de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de estado posible por cliente, si no terminaras matando el router/firewall
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola Sergio,
Muchas gracias por tu respuesta ¿ustedes utilizan reglas de firewall en el mismo iptables o tienen un firewall externo de protección al servidor DNS? En cuanto a las reglas, ¿descartan los paquetes por repetición de consultas ANY, similar a:
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Sergio Ramirez Enviado el: jueves, 31 de mayo de 2012 04:07 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
Hola:
Desde el lunes 28 hasta el día de hoy, nuestro firewall ha detectado un incremento importante de consultas tipo ANY simultáneas desde varias IPs dirigidas a uno de nuestros servidores DNS. El servidor nunca las ha recibido pues el firwall las descartó.
En este momento este tipo de comportamiento se ha reducido bastante. Lamentablemente, no hemos capturado estos paquetes para analizar si las consultas eran por el nombre "ripe.net" o no.
Sergio Ramírez
El 31/05/12 18:10, Francisco Vargas Piedra escribió:
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las >respuestas.
Esta dirección intentó hacer una petición de IN ANY a "ripe.net"; fue denegada por no pertenecer a nuestra red. Lo que te quiero decir es que se detectó esa petición justo antes de que empezara el ataque con las direcciones de mi propia red. A pesar de que se denegó me pareció curioso y muy coincidente esta petición; por lo tanto escribí esa información por si acaso alguien más la ha visto; podría ser la dirección ip del C&C que activa el botnet; pero sería mera especulación.
Soy nuevo en esta comunidad; pero realmente APRECIO ENORMEMENTE TODA LA RETROALIMENTACIÓN QUE HE RECIBIDO Y LA FORMA TAN ATENTA EN LA QUE ME RECIBIERON. En lo que pueda estoy a sus servicios.
Saludos, Francisco Vargas Piedra
2
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Sebastian Castro Enviado el: jueves, 31 de mayo de 2012 02:55 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
On 01/06/12 08:31, Francisco Vargas Piedra wrote:
Buenas tardes,
Hola Francisco,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes.
Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.Lo que estas viendo es un ataque de amplificacion de DNS, donde aparentemente algunos de tus clientes serian miembros de una botnet, y atacan ripe.net por ser un dominio firmado con DNSSEC, por lo que sus respuestas son grandes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
No sabria asociarlo exactamente a un virus, pero si tengo claro que es una botnet. Se han visto casos parecidos afectando otros servicios.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN http://ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
La direccion 80.82.70.138 pertenece a tu red? Es alguno de tus clientes? Existe la posibilidad de que el ataque sea con direcciones falsificadas, por lo que alguien mas podria estar usando tus direcciones para mandar trafico a RIPE, por lo que tu recibes las respuestas.
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
BIND, hasta donde se, no implementa restriccion por numero de consultas, pero si tiene la funcionalidad de "blackhole", donde una lista de direcciones no recibiran respuesta.
La alternativa es que utilices reglas de firewall para limitar el numero de paquetes de DNS por segundo. Tiene que mantener la menor cantidad de estado posible por cliente, si no terminaras matando el router/firewall
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal.
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.
s2
Carlos
On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
lo se, me refiero a que, no ha sido tragico ( por el tamano de los paquetes )
Salu2
On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.
s2
Carlos
On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Ah correcto :-) Efectivamente, es un punto interesante.
Alguno tiene cifras para compartir? paquetes por segundo, queries por segundo, cantidad de IPs que estan detectando ?
s2
Carlos
On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
lo se, me refiero a que, no ha sido tragico ( por el tamano de los paquetes )
Salu2
On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.
s2
Carlos
On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.
Saludos.
On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:
Ah correcto :-) Efectivamente, es un punto interesante.
Alguno tiene cifras para compartir? paquetes por segundo, queries por segundo, cantidad de IPs que estan detectando ?
s2
Carlos
On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
lo se, me refiero a que, no ha sido tragico ( por el tamano de los paquetes )
Salu2
On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.
s2
Carlos
On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
La cantidad de direcciones IP que nos atacaron inicialmente se han reducido sustancialmente; sin embargo, la mayoría de clientes han sido notificados para que utilizaran antivirus o revisaran sus computadoras. Eso me hace pensar que el botnet sí se puede erradicar con algunas de las herramientas actuales.
Los mantendré con retroalimentación.
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Pablo Jiménez Enviado el: viernes, 01 de junio de 2012 10:57 a.m. Para: dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Ataque a mis DNS
Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.
Saludos.
On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:
Ah correcto :-) Efectivamente, es un punto interesante.
Alguno tiene cifras para compartir? paquetes por segundo, queries por segundo, cantidad de IPs que estan detectando ?
s2
Carlos
On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
lo se, me refiero a que, no ha sido tragico ( por el tamano de los paquetes )
Salu2
On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.
s2
Carlos
On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
-- Pablo Jiménez _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Estimados aporto con granitos de arena en estadisticas
*Date flow start* *
6/1/2012 08:25:34.409 902,272 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 11.0 M 724.9 M 1 6/1/2012 08:25:34.409 902,272 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 11.0 M 724.8 M 1 6/1/2012 08:31:56.100 904,832 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48383 3.2 M 1 6/1/2012 08:31:56.100 904,832 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 31353 2.1 M 1 6/1/2012 08:31:56.164 904,896 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48406 3.2 M 1 6/1/2012 08:31:56.099 904,960 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48387 3.2 M 1 6/1/2012 08:31:56.099 904,960 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48414 3.2 M 1 6/1/2012 08:31:56.163 904,768 UDP 46.249.48.59:53 -> XXX.XXX.XXX.XXX:53 48375 3.2 M 1
Sigo reuniendo Info
On 06/01/2012 01:20 PM, Francisco Vargas Piedra wrote:
La cantidad de direcciones IP que nos atacaron inicialmente se han reducido sustancialmente; sin embargo, la mayoría de clientes han sido notificados para que utilizaran antivirus o revisaran sus computadoras. Eso me hace pensar que el botnet sí se puede erradicar con algunas de las herramientas actuales.
Los mantendré con retroalimentación.
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Pablo Jiménez Enviado el: viernes, 01 de junio de 2012 10:57 a.m. Para: dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Ataque a mis DNS
Por lo menos acá, los gráficos de monitoreo de los resolvers nos indican que la actividad anómala se reinició ayer a las 19.30h (hora local). Eso, tras haberse detenido a las 11.30h. La diferencia más notoria es en las consultas DNSSEC. Sobre las qps, los gráficos de uno de los resolvers me indican actualmente 4500qps y ayer a esta misma hora, eran alrededor de 3100qps ó 3200qps.
Saludos.
On Fri, Jun 01, 2012 at 01:27:43PM -0300, Carlos M. Martinez wrote:
Ah correcto :-) Efectivamente, es un punto interesante.
Alguno tiene cifras para compartir? paquetes por segundo, queries por segundo, cantidad de IPs que estan detectando ?
s2
Carlos
On 6/1/12 1:26 PM, Nelson Lopez V. wrote:
lo se, me refiero a que, no ha sido tragico ( por el tamano de los paquetes )
Salu2
On 06/01/2012 12:24 PM, Carlos M. Martinez wrote:
Cuidado que DNSSEC no los va a proteger de este tipo de cosas, es una herramienta para _otro_ tipo de amenazas.
s2
Carlos
On 6/1/12 1:17 PM, Nelson Lopez V. wrote:
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string > '|0000FF0001|' -m recent --set --name dnsanyquery > > -p udp --dport 53 -m string --from 50 --algo bm --hex-string > '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds > 60 --hitcount 5 -j DROP > > Estamos planeando implementar estas reglas para denegar el > ataque en caso de que se reactive el botnet; entonces preciso > tener bastante retroalimentación para no afectar a nuestros > clientes con las reglas que vayamos a incluir. yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
-- Pablo Jiménez _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Buenos días,
Acá en Costa Rica mitigamos el ataque utilizando IPTABLES con las siguientes reglas:
sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsquery sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j DROP sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j LOG --log-prefix "ATACANTE- " --log-level 4
La última línea la utilizamos para tener logs en syslog marcados con "ATACANTE" y poder encontrarlos fácilmente con grep.
Evidentemente esto sólo detendrá que las peticiones lleguen al servicio de DNS. En nuestro caso hemos ido contactando a los clientes y al parecer corriendo antivirus (aún no precisamos cuál) se ha ido eliminando el botnet.
Los mantendré al tanto. Agradecería cualquier retroalimentación.
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Nelson Lopez V. Enviado el: viernes, 01 de junio de 2012 10:18 a.m. Para: dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Ataque a mis DNS
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
No entren en pánico... :) Creo que este tema recién está viendo cómo salir a flote... Me refiero a que puede ser parte de un ataque de mayor magnitud y solo recién se estén haciendo pruebas... Deben estar identificando targets y creando algunas db con data.
Me llegan más requerimiento por consulta PTR por mis segmentos IP, que con este 'ataque' :B
Alex Ojeda Mercado. Administrador de Red Rosal 331, Piso 2, Santiago, Chile Fono: + 56 2 345 86 00 Mail: alex.ojeda@indexa.cl
Cuidemos el Medio Ambiente Evitemos imprimir demás
CONFIDENCIALIDAD: La información contenida en este mensaje y/o en los archivos adjuntos es de carácter confidencial o privilegiada y está destinada al uso exclusivo del emisor y/o de la persona o entidad a quien va dirigida. Si usted no es el destinatario, cualquier almacenamiento, divulgación, distribución o copia de esta información está estrictamente prohibida y sancionada por la ley. Si recibió este mensaje por error, por favor infórmenos inmediatamente respondiendo este mismo mensaje y borre éste y todos los archivos adjuntos. Gracias. CONFIDENTIAL: The information transmitted in this message and/or attachments is confidential and/or privileged and is intented only for use of the person or entity to whom it is addressed. If you are not the intended recipient, any retention, dissemination, distribution or copy of this information is strictly prohibited and sanctioned by law. If you received this message in error, please reply us this same message and delete this message and all attachments. Thank you.
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Vargas Piedra Enviado el: viernes, 01 de junio de 2012 12:29 Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
Buenos días,
Acá en Costa Rica mitigamos el ataque utilizando IPTABLES con las siguientes reglas:
sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsquery sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j DROP sudo iptables -I INPUT -p udp --dport 53 -m string --algo bm --hex-string '|0000FF0001|' -m recent --name dnsquery --update --seconds 1 --hitcount 5 -j LOG --log-prefix "ATACANTE- " --log-level 4
La última línea la utilizamos para tener logs en syslog marcados con "ATACANTE" y poder encontrarlos fácilmente con grep.
Evidentemente esto sólo detendrá que las peticiones lleguen al servicio de DNS. En nuestro caso hemos ido contactando a los clientes y al parecer corriendo antivirus (aún no precisamos cuál) se ha ido eliminando el botnet.
Los mantendré al tanto. Agradecería cualquier retroalimentación.
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Nelson Lopez V. Enviado el: viernes, 01 de junio de 2012 10:18 a.m. Para: dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Ataque a mis DNS
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Así es.
En estos momentos es más importante obtener una imagen de una computadora infectada para determinar la naturaleza de lo que está pasando
saludos
On Jun 1, 2012, at 9:49 AM, Alex Ojeda wrote:
No entren en pánico... :) Creo que este tema recién está viendo cómo salir a flote... Me refiero a que puede ser parte de un ataque de mayor magnitud y solo recién se estén haciendo pruebas... Deben estar identificando targets y creando algunas db con data.
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
Estimados
Por aca en la utfsm estamos viendo queries ANY hacia el dominio aca.cl, las IP del log son todas (o casi) de china.
saludos
----- Original Message ----- From: "Nelson Lopez V." tuxero@gmail.com To: dns-esp@listas.nic.cl Sent: Friday, June 1, 2012 12:17:31 PM Subject: Re: [dns-esp] Ataque a mis DNS
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Nosotros hemos percibido menos tráfico ANY de los botnets que infectaron nuestra red. Por el momento la solución de las reglas de IPTABLES que comenté la semana pasada nos han funcionado excelente y no han habido quejas en el servicio que brindamos.
Saludos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Yonathan Dossow Enviado el: lunes, 04 de junio de 2012 08:53 a.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
Estimados
Por aca en la utfsm estamos viendo queries ANY hacia el dominio aca.cl, las IP del log son todas (o casi) de china.
saludos
----- Original Message ----- From: "Nelson Lopez V." tuxero@gmail.com To: dns-esp@listas.nic.cl Sent: Friday, June 1, 2012 12:17:31 PM Subject: Re: [dns-esp] Ataque a mis DNS
Estimados,
aca en la Universidad de chile estamos empezando a ver los coletasos de estas botnets
estamos viendo conexiones desde la IP 46.249.48.59 que coincidentemente es de RIPE, el comportamiento es trafico Puerto origen/destino 53 udp.
aca no tenemos DNSSEC y por firewall tampoco estamos permitiendo paquetes mayores al estandar, por lo que no ha sido tragico.
aun estamos tratando de verificar si es trafico saliente o entrante los mantendre informados, y de ser saliente, solicitare a los organismos que auditen las maquinas y de ser posible obtener imagenes de los discos.
Saludos.
On 05/31/2012 07:01 PM, Francisco Vargas Piedra wrote:
Excelente. Me gusta esa idea.
Les agradezco a todos la ayuda. Los mantendré informados.
Saludos a todos, Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Juan Manuel Doren Enviado el: jueves, 31 de mayo de 2012 04:58 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Estamos planeando implementar estas reglas para denegar el ataque en caso de que se reactive el botnet; entonces preciso tener bastante retroalimentación para no afectar a nuestros clientes con las reglas que vayamos a incluir.
yo pondría las reglas comentadas en el firewall (para activarlas rápido )y por mientras solamente loguearia a los que hagan más de n peticiones por segundo, así conoces el comportamiento normal de la red, lo que básico para determinar cuando se convierte en anormal. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Lectura...
https://isc.sans.edu/diary/DNS+ANY+Request+Cannon+-+Need+More +Packets/13261
Se supone que son chinos buscando DNS mal configurados...
la tecnica que ocupan es la amplificacion...
analiza tus dns para ver que tal andan
saludos!
El jue, 31-05-2012 a las 20:31 +0000, Francisco Vargas Piedra escribió:
Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Del artículo mencionado por Gino, para Netfliter (iptables)
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP Jose 2012/5/31 Francisco Vargas Piedra f.vargas@cabletica.com
Buenas tardes,****
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.****
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.****
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.****
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):****
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied****
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied****
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):****
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)****
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?****
LES RUEGO AYUDARME CON ESTE ASUNTO.****
Saludos,****
Ing. Francisco Vargas****
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
El problema de bloquear los quueries ANY es que algunos servidores de correo lo utilizan para obtener la lista de RRs, al bloquearlo se corre el riesgo de romper mas que el DNS.
Aunque la sugerencia de usar un rate limiting como se propone aqui podría funcionar dependiendo de la cantidad de tráfico que se reciba.
saludos
On May 31, 2012, at 2:20 PM, José Miguel Parrella Romero wrote:
Del artículo mencionado por Gino, para Netfliter (iptables)
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP Jose 2012/5/31 Francisco Vargas Piedra f.vargas@cabletica.com Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a “ripe.net”. Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
Uno de los clientes afectados nos reportó una actividad inusual por parte de esta dirección IP de China: 183.192.168.14
Hemos detectado que esa dirección ha interactuado con algunos de nuestros clientes afectados; no sé si servirá como información valiosa.
Saludos,
Francisco Vargas Piedra
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl [mailto:dns-esp-bounces@listas.nic.cl] En nombre de Francisco Obispo Enviado el: jueves, 31 de mayo de 2012 03:26 p.m. Para: DNS en español Asunto: Re: [dns-esp] Ataque a mis DNS
El problema de bloquear los quueries ANY es que algunos servidores de correo lo utilizan para obtener la lista de RRs, al bloquearlo se corre el riesgo de romper mas que el DNS.
Aunque la sugerencia de usar un rate limiting como se propone aqui podría funcionar dependiendo de la cantidad de tráfico que se reciba.
saludos
On May 31, 2012, at 2:20 PM, José Miguel Parrella Romero wrote:
Del artículo mencionado por Gino, para Netfliter (iptables)
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --set --name dnsanyquery
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP Jose 2012/5/31 Francisco Vargas Piedra f.vargas@cabletica.com Buenas tardes,
Mi nombre es Francisco Vargas y soy ingeniero de una compañía de cable. Estoy encargado de la administración de los DNS.
He recibido un ataque que consistió en la saturación de mis servidores a través de peticiones a "ripe.net". Parece ser una especie de botnet que se propagó por varios CPUs (108 direcciones IP consultaban desmedidamente hacia ese dominio) de nuestros clientes. Mis DNSs están configurados con Bind y la plataforma sólo responde a las direcciones IP de nuestros clientes.
¿Alguien sabe de algún virus que pueda causar este tipo de problemas? Otro punto importante es que se activó en el mismo momento; es decir, parece que el botnet pudo haber sido activado a través de un C&C.
Justo antes del ataque logré capturar esta petición sospechosa (que fue denegada):
May 28 11:53:21 XXXXXXXX named[5841]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied
May 28 11:28:15 XXXXXXXX named[4367]: client 80.82.70.138#53: query (cache) 'ripe.net/ANY/IN' denied
Además las peticiones que inundaron mis servidores eran de la siguiente forma (elimino la dirección IP por no ser de interés):
29-May-2012 14:53:11.185 client DIRECCION_IP#32768: query: ripe.net IN ANY +ED (DIRECCION_IP_DE_NUESTRO_SERVER)
Quisiera alguna retroalimentación; en estos momentos estoy controlando el ataque mediante listas de acceso que deniegan solicitudes de estos clientes.
¿Alguien sabe alguna forma de hacer que Bind deniegue respuestas a IPs que hacen peticiones desmedidas? ¿O alguna forma de control similar?
LES RUEGO AYUDARME CON ESTE ASUNTO.
Saludos,
Ing. Francisco Vargas
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Francisco Obispo email: fobispo@isc.org Phone: +1 650 423 1374 || INOC-DBA *3557* NOC PGP KeyID = B38DB1BE
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp