[GTER] DNS Alto Trafego

Wed Mar 1 09:41:53 -03 2017

@Frederico

Interessante este projeto. vcs já chegaram a medir a carga que isto poderia
levar num servidor recursivo? Se isto pode ser considerado até uma best
practice para a cartilha de segurança do Nic.BR, relacionado a Segurança de
DNS Recursivos?
Podemos dizer que está ferramenta seria uma boa combatente para as maquinas
infectadas com bootnet, ter um nxdomain ou algo do genero ao consultar suas
command control?

Agora uma coisa que não ficou clara para mim, como ele vai disparar um
e-mail para Alice[¹] e informar que o que ela está tentando acessar poder
ser malicioso, quero dizer como o sistema vai entender isto e enviar o
e-mail corretamente?

[¹]https://en.wikipedia.org/wiki/Response_policy_zone#Example_of_use

Em 1 de março de 2017 09:21, Frederico A C Neves <fneves at registro.br>
escreveu:

> Bruno,
>
> On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive Digital
> Experience wrote:
> > Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois estamos
> > esgotando as tentativas de solução.
> >
> >
> >
> > Temos um cenário de um provedor com cerca de 500 clientes conectados
> > simultaneamente ao concentrador. De uns tempos pra cá, percebemos que
> pelo
> > menos 100 clientes (nem sempre os mesmos 100) enviam requisições ao DNS
> > (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada cliente, gerando
> um
> > tráfego grande e causando lentidão na entrega das requisições reais.
> >
> >
> >
> > O servidor está bloqueado para fora da rede do provedor, mas parece que
> os
> > próprios clientes estão atacando.
> >
> >
> >
> > Como este servidor está virtualizado, refizemos e redirecionamos um novo,
> > durou poucas horas, e voltou a apresentar os sintomas.
> >
> >
> >
> > Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas as
> > recomendações de boas práticas.
> >
> >
> >
> > Alguém já passou por isso ou tem uma dica pra tentar resolver? A única
> forma
> > que achamos de parar o tráfego foi desabilitando a recursão, mas daí
> ninguém
> > consegue consultar...
> >
>
> Você tem alguma coleta das consultas que estes clientes tem enviado
> para o servidor?
>
> Os sintomas que você reporta são fortes indícios de que estes clientes
> estão infectados com algum tipo de artefato malicioso.
>
> Como medida paliativa, e de posse das características das consultas,
> você pode tentar usar RPZ[1] para mitigar o problema.
>
> Como solução definitiva, identificado o problema, tente ajudar seus
> clientes a removerem o artefato de suas máquinas/CPEs etc...
>
> >
> > Obrigado desde já e desculpem se não é o local mais adequado.
> >
> >
> >
> > Atenciosamente,
> >
> > Bruno
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> Fred
>
> [1] https://en.wikipedia.org/wiki/Response_policy_zone
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>