[GTER] RES: Flood DNS - Consumo de rede

Hábner Teixeira Costa habner at outlook.com
Mon Oct 20 15:22:12 -02 2014 

Seus clientes estão com o recursivo aberto e estão usando sua rede para
ataque de amplificação. É uma vulnerabilidade nos modens.
O comando abaixo lhe dará essa certeza:

nmap -sU -p 53 200.200.200.200

O sentido do ataque é esse e está afetando não só seu DNS, mas seu cliente,
pois são respostas TXT e ANY que ocupam toda banda do mesmo.

atacante porta dst 53 ---> seu cliente como recursivo ---> seu dns como
resolver ----> dns do facebook por exemplo

Atenciosamente

Hábner Teixeira Costa

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Daniel Vasconcelos
Enviada em: sexta-feira, 17 de outubro de 2014 10:16
Para: gter at eng.registro.br
Assunto: [GTER] Flood DNS - Consumo de rede

Olá pessoal,

Analisando os gráficos do último mês de um servidor DNS, percebi que o
tráfego de rede aumentou drasticamente, comparando os últimos 6 meses,
apenas no mês 10 (atual) houve este aumento. Segue um comparativo:




Não é backup que está gerando todo esse consumo, além do mais, o servidor
permite consultas recursivas apenas a partir de determinadas redes. O que
pode estar ocorrendo não sei, mas achei estranho esta saída nos logs do
tcpdump:

user at dns:~# tcpdump -i eth0
10:11:31.221987 IP dns.tcheturbo.com.br.domain >
rb.tcheturbo.com.br.61426: 30774 10/2/1 TXT "tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy ttttttttttttt" "yyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttt" "tttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy", TXT "asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf " "asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf", TXT[|domain]

Esta saída apresentada acima se repete continuamente, apenas alternando os
valores do campo TXT.

Alguém poderia me dar uma mão e um maior esclarecimento do que pode estar
acontecendo?

Atenciosamente,
Daniel
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list