[GTER] RES: Flood DNS - Consumo de rede
Hábner Teixeira Costa
habner at outlook.com
Mon Oct 20 15:22:12 -02 2014
Seus clientes estão com o recursivo aberto e estão usando sua rede para
ataque de amplificação. É uma vulnerabilidade nos modens.
O comando abaixo lhe dará essa certeza:
nmap -sU -p 53 200.200.200.200
O sentido do ataque é esse e está afetando não só seu DNS, mas seu cliente,
pois são respostas TXT e ANY que ocupam toda banda do mesmo.
atacante porta dst 53 ---> seu cliente como recursivo ---> seu dns como
resolver ----> dns do facebook por exemplo
Atenciosamente
Hábner Teixeira Costa
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Daniel Vasconcelos
Enviada em: sexta-feira, 17 de outubro de 2014 10:16
Para: gter at eng.registro.br
Assunto: [GTER] Flood DNS - Consumo de rede
Olá pessoal,
Analisando os gráficos do último mês de um servidor DNS, percebi que o
tráfego de rede aumentou drasticamente, comparando os últimos 6 meses,
apenas no mês 10 (atual) houve este aumento. Segue um comparativo:
Não é backup que está gerando todo esse consumo, além do mais, o servidor
permite consultas recursivas apenas a partir de determinadas redes. O que
pode estar ocorrendo não sei, mas achei estranho esta saída nos logs do
tcpdump:
user at dns:~# tcpdump -i eth0
10:11:31.221987 IP dns.tcheturbo.com.br.domain >
rb.tcheturbo.com.br.61426: 30774 10/2/1 TXT "tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy ttttttttttttt" "yyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy tttt" "tttttttttyyyyyyyy tttttttttttttyyyyyyyy
tttttttttttttyyyyyyyy", TXT "asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf " "asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf
asdfasdfasdfasdf asdfasdfasdfasdf asdfasdfasdfasdf", TXT[|domain]
Esta saída apresentada acima se repete continuamente, apenas alternando os
valores do campo TXT.
Alguém poderia me dar uma mão e um maior esclarecimento do que pode estar
acontecendo?
Atenciosamente,
Daniel
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list