[caiu] Acesso DNS vindo do ip 174.127.163.120.

Filipe Cifali Stangler cifali em kinghost.com.br
Segunda Julho 23 10:59:47 BRT 2012 

Passei por um evento parecido semana passada e montei um script para 
análise, posso afirmar que 96% dos bloqueios foram de Chinanet-**, tive 
alguns bloqueios de kornet(corea net) e outros isolados.

O problema é como descrito também, o spoof é a nível ridículo de eles 
terem uma grama grande de IPs e nos ultimos dias queria até mesmo 
bloqueios maiores. Só que bloquear 4 a cada 1 minuto é um tanto quanto 
absurdo, porque até mesmo pode gerar falsos positivos demais.

O que vejo hoje praticamente é:

country:        CN

As consultas? 600 consultas em um período de 30 segundos para diversos 
domínios que o dns responda.

Uma coisa eu confesso, não me importaria em bloquear a China, mas meus 
clientes poderiam sofrer impactos colaterais.

Se não fosse um negócio que dependesse disso, certamente já estaria 
bloqueada.

Em 20/07/12 21:57, alfredo junior escreveu:
> Em 20-07-2012 21:25, casfre at gmail.com escreveu:
>> On Fri, Jul 20, 2012 at 9:21 PM, alfredo junior<aljr at lbr.com.br>  wrote:
>>> Estamos tendo várias tentativas de consulta ao nosso DNS vindo do IP
>>> 174.127.163.120, estranho que verifiquei em outros clientes que tem
>>> servidores de DNS próprios a consulta vindo desse mesmo IP, alguém 
>>> sabe o
>>> que pode ser?
>> Seria algo similar a isso? http://isc.sans.edu/diary.html?storyid=13261
>>
>> Tenho servidores que estavam recebendo essas consultas há meses. Já
>> estamos usando as regras indicadas e, até então, parece não haver
>> efeitos colaterais. Detalhe: em nosso caso a fonte mudava.
>>
>> Obrigado.
>>
>> Cássio
> Cássio é isso mesmo, configurei as regras conforme o link e agora 
> estamos bloqueando os acessos ,
>
> Obrigado.
>
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


-- 
Atenciosamente,
KingHost <http://www.kinghost.com.br>
*Filipe Cifali Stangler
Analista de Infraestrutura*
Código Promocional: DESCONTO5TRI 
<http://www.kinghost.com.br/promo/DESCONTO5TRI.html>
cifali at kinghost.com.br <mailto:cifali at kinghost.com.br>

Tire suas dúvidas gratuitamente: 0800.881.5464
Capitais e pólos regionais: 4003.5464

KingHost - Hospedagem de sites
http://www.kinghost.com.br

Mais detalhes sobre a lista de discussão caiu