[GTER] Bind9 com tráfego estranho

Carlos Ribeiro cribeiro at telbrax.com.br
Wed Sep 10 16:22:50 -03 2014


A chance de não ser normal é gigantesca. Tivemos um problema parecido pouco
tempo atrás, e o que estava ocorrendo é que o pessoal está fazendo
(literalmente!!!) uma "VPN" critpografada, estilo Thor, usando os nomes de
domínios para passar informação entre o cliente (que manda a requisição com
o nome "fake") e o servidor do domínio-base no qual essa pseudo-VPN termina.

Ex: imagine um domínio fictítcio chamado xyz.cn. Então, o cliente manda um
request para "find-master-node.xyz.cn". Seu servidor não tem esse nome e
via recursão vai pesquisar isso lá no xyz.cn, que "esconde" na resposta a
informação do tal "master node" que ele precisa procurar. Dá para
implementar protocolos simples de pergunta/resposta em modo "stealth"
razoavelmente sofisticados, e de difícil detecção, desse jeito.

O problema, basicamente, é que você está aceitando requisições que não
precisa ou não deve aceitar. Mesmo fechando o recursivo para fora da rede é
necessário fazer outras barreiras de proteção, incluindo o "throttling" de
requisições originadas de um mesmo IP, etc.

Vou ver se o pessoal ainda tem salvo aqui um log das mudanças que fizemos e
mando em breve.

*Carlos Ribeiro*
*Sócio*
Cel: +55 (31) 9303-3366
Tel: +55 (31) 3305-5620
Geral: +55 (31) 3305-5600
cribeiro at telbrax.com.br
www.telbrax.com.br

Em 10 de setembro de 2014 08:47, Denilson Rocha <
denilson_rocha at vertentes.com.br> escreveu:

> Prezados, bom dia!
>
> Possuo dois servidores DNS com BIND9, e me deparei com um tráfego que
> considero estranho... Há toneladas de conexões ativas como abaixo
> (substituí o nome correto por ___servername___):
>
> # netstat
> tcp        0     56 ___servername___:43841 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     61 ___servername___:57356 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     54 ___servername___:56643 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     62 ___servername___:43859 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     52 ___servername___:41105 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     59 ___servername___:52948 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     47 ___servername___:43564 117.27.239.231:domain
> ESTABELECIDA
> tcp        0     60 ___servername___:35547gter at eng.registro.br
> 117.27.239.231:domain   ESPERA_FIN1
> tcp        0     52 ___servername___:37086 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     60 ___servername___:50299 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     61 ___servername___:50733 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     60 ___servername___:49954 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     54 ___servername___:56114 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     58 ___servername___:52498 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     60 ___servername___:51029 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     58 ___servername___:49157 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     49 ___servername___:53923 117.27.239.231:domain
> ESTABELECIDA
> tcp        0     54 ___servername___:43032 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     50 ___servername___:58786 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     60 ___servername___:58091 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     50 ___servername___:59829 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     55 ___servername___:45556 117.27.239.231:domain
> ESTABELECIDA
> tcp        0     49 ___servername___:39342 117.27.239.231:domain
> ESTABELECIDA
> tcp        0     62 ___servername___:36701 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     59 ___servername___:60671 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     58 ___servername___:56954 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     59 ___servername___:39270 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     50 ___servername___:53215 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     39 ___servername___:52409 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     49 ___servername___:51849 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     52 ___servername___:46896 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     54 ___servername___:56638 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     54 ___servername___:56632 117.27.239.231:domain
> ESPERA_FIN1
> tcp        0     54 ___servername___:34805 117.27.239.231:domain
> ESPERA_FIN1
>
> São originadas no meu servidor, com destino à porta 53 do servidor
> remoto. O mais estranho são os detinos. Os destinos com mais conexões
> são pertencentes aos blocos abaixo:
>
>
> -------------------------------------------------------------------------------
> inetnum:        58.208.0.0 - 58.223.255.255
> netname:        CHINANET-JS
> descr:          CHINANET jiangsu province network
> descr:          China Telecom
> descr:          A12,Xin-Jie-Kou-Wai Street
> descr:          Beijing 100088
> country:        CN
>
> -------------------------------------------------------------------------------
> inetnum:        117.24.0.0 - 117.31.255.255
> netname:        CHINANET-FJ
> descr:          CHINANET Fujian province network
> descr:          China Telecom
> descr:          7,East Street ,Fuzhou ,Fujian ,PRC
> country:        CN
>
> -------------------------------------------------------------------------------
> inetnum:        221.204.0.0 - 221.205.255.255
> netname:        UNICOM-SX
> descr:          China Unicom Shanxi Province Network
> descr:          China Unicom
> country:        CN
>
> -------------------------------------------------------------------------------
> inetnum:        222.160.0.0 - 222.163.255.255
> netname:        UNICOM-JL
> descr:          China Unicom Jilin province network
> descr:          China Unicom
> country:        CN
>
> -------------------------------------------------------------------------------
> inetnum:        222.184.0.0 - 222.191.255.255
> netname:        CHINANET-JS
> descr:          CHINANET jiangsu province network
> descr:          China Telecom
> descr:          A12,Xin-Jie-Kou-Wai Street
> descr:          Beijing 100088
> country:        CN
>
> -------------------------------------------------------------------------------
>
> Existem ainda alguns destinos nos Estados Unidos, mas esses da China são
> a imensa maioria...
>
> Já viram este tipo de comportamento? Não acredito que seja normal...
>
> Atenciosamente
> Denilson Rocha
> Vertentes Telecom
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list