[GTER] RES: DNS amplifiers

Ricardo Oliveira ricardo.btu at gmail.com
Mon Dec 22 12:57:54 -02 2014 

Usando o radar da Qrator da para ter uma noção dos ataques amplificados na
sua rede, consegui identificar vários clientes com NTP e DNS amplificando
ataques em nossa rede.
https://radar.qrator.net

Obrigado.
Ricardo Freitas.

Em 22 de dezembro de 2014 11:29, Fábio - RJ Network <fabio at rjnetwork.com.br>
escreveu:

> Marcelo
>
> Temos mais de 20 clientes com DNS recursivo aberto sendo explorados para
> ataques de DoS. Quase todos são provedores de internet.
>
> Até aí não há problema algum pois os endereços estão sob suas
> responsabilidades, inclusive jurídicas, e o limite de utilização da banda é
> a contratada, então ele não consome mais banda do que paga.
>
> O problema ocorre quando recebemos o contra-ataque, que são direcionados
> justamente para essas redes vuneráveis.
>
> Notificamos todos eles, incluindo um how-to para desativar ou restringir o
> acesso. But, no way!
>
> Eu queria é realmente saber o que vocês fazem nesses casos, pois eu não
> gostaria de 'radicalizar' como o Lucas.
>
> --
> Fábio R. Hernandes
> RJ Network - Tecnologia Integrada
> Fone: (17) 3211 4211
> www.rjnetwork.com.br
>
>
> 2014-12-22 10:18 GMT-02:00 marcelo <marcelo at mbgtecnologias.com.br>:
>
> > Bom dia Fábio, temos alguns clientes provedores aqui e geralmente o
> > pessoal deixava o DNS na Router deles ativo e aberto na rede, e o upload
> > comendo solto. O que fizemos aqui e resolveu foi  monitorando os IPs do
> > cliente que apresentavam problemas  e fazemos um filtro do nosso lado
> > fechando a porta 53 para que não fique mais disponível para usuários
> > externos acessarem.
> >
> > Sempre orientamos o cliente a desativar o serviço de DNS de seu roteador
> e
> > forçar o seus cliente a pegar nosso DNS que só responde nossos IPs  ou
> > externos de confiança e não usar o roteador Mirktoik como servidor DNS.
> >
> > Foi só assim que resolvemos o problema.
> >
> >
> > Seria esse o problema que está enfrentando ?
> >
> >
> > -----Mensagem original-----
> > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> Em
> > nome de Fábio - RJ Network
> > Enviada em: segunda-feira, 22 de dezembro de 2014 09:00
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] DNS amplifiers
> >
> > Lucas, algum cliente seu é provedor de internet?
> >
> >
> > --
> > Fábio R. Hernandes
> > RJ Network - Tecnologia Integrada
> > Fone: (17) 3211 4211
> > www.rjnetwork.com.br
> >
> >
> > 2014-12-19 15:37 GMT-02:00 V. Feitoza <vfeitoza at gmail.com>:
> >
> > > Lucas,
> > >
> > > Poderia disponibilizar este termo.
> > >
> > >
> > > Virtual Word - O mundo ao seu alcance.
> > > Victor Feitoza
> > >
> > >
> > > Em 19 de dezembro de 2014 13:22, Lucas Willian Bocchi <
> > > lucas.bocchi at gmail.com> escreveu:
> > >
> > > > Eu bloqueio a porta 53 de TODO MUNDO, independente se é corporativo
> ou
> > > > não, e obrigo usar meus dns's internos. Se o cliente quer ter a
> > > > escolha de usar seu próprio dns interno ele assina um termozinho de
> > > > compromisso no qual eu relato os problemas de ataque, uso de banda
> com
> > > > a amplificação, etc etc etc, e faço o TI dele assinar ou ele mesmo.
> Em
> > > > caso de detecção de problemas, bloqueio imediato novamente e alerta o
> > > > cliente.
> > > >
> > > > Em 19 de dezembro de 2014 11:23, Fábio - RJ Network
> > > > <fabio at rjnetwork.com.br> escreveu:
> > > > > Temos alguns clientes (99% mikrotik) com DNS aberto que acabam
> sendo
> > > > usados
> > > > > para ataques DoS, e o problema é que andamos tomando
> contra-ataques.
> > > > >
> > > > > Alguém toma alguma ação em clientes corporativos de link dedicado?
> > > > >
> > > > > --
> > > > > Fábio R. Hernandes
> > > > > RJ Network - Tecnologia Integrada
> > > > > Fone: (17) 3211 4211
> > > > > www.rjnetwork.com.br
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> >
> > ---
> > Este email está limpo de vírus e malwares porque a proteção do avast!
> > Antivírus está ativa.
> > http://www.avast.com
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list