[GTER] RES: DNS Alto Trafego

Wed Mar 1 12:03:20 -03 2017

Pessoal, recebemos uma orientação para retirar das ONUs o DNS Relay, e setar os nossos DNS Manualmente.

Testamos uns alguns clientes e aparentemente está resolvendo o problema... Vamos seguir na configuração

Obrigado à todos! 

-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Lista
Enviada em: quarta-feira, 1 de março de 2017 09:42
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>; Frederico A C Neves <fneves at registro.br>
Assunto: Re: [GTER] DNS Alto Trafego

@Frederico

Interessante este projeto. vcs já chegaram a medir a carga que isto poderia levar num servidor recursivo? Se isto pode ser considerado até uma best practice para a cartilha de segurança do Nic.BR, relacionado a Segurança de DNS Recursivos?
Podemos dizer que está ferramenta seria uma boa combatente para as maquinas infectadas com bootnet, ter um nxdomain ou algo do genero ao consultar suas command control?

Agora uma coisa que não ficou clara para mim, como ele vai disparar um e-mail para Alice[¹] e informar que o que ela está tentando acessar poder ser malicioso, quero dizer como o sistema vai entender isto e enviar o e-mail corretamente?

[¹]https://en.wikipedia.org/wiki/Response_policy_zone#Example_of_use

Em 1 de março de 2017 09:21, Frederico A C Neves <fneves at registro.br>
escreveu:

> Bruno,
>
> On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive 
> Digital Experience wrote:
> > Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois 
> > estamos esgotando as tentativas de solução.
> >
> >
> >
> > Temos um cenário de um provedor com cerca de 500 clientes conectados 
> > simultaneamente ao concentrador. De uns tempos pra cá, percebemos 
> > que
> pelo
> > menos 100 clientes (nem sempre os mesmos 100) enviam requisições ao 
> > DNS (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada cliente, 
> > gerando
> um
> > tráfego grande e causando lentidão na entrega das requisições reais.
> >
> >
> >
> > O servidor está bloqueado para fora da rede do provedor, mas parece 
> > que
> os
> > próprios clientes estão atacando.
> >
> >
> >
> > Como este servidor está virtualizado, refizemos e redirecionamos um 
> > novo, durou poucas horas, e voltou a apresentar os sintomas.
> >
> >
> >
> > Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas 
> > as recomendações de boas práticas.
> >
> >
> >
> > Alguém já passou por isso ou tem uma dica pra tentar resolver? A 
> > única
> forma
> > que achamos de parar o tráfego foi desabilitando a recursão, mas daí
> ninguém
> > consegue consultar...
> >
>
> Você tem alguma coleta das consultas que estes clientes tem enviado 
> para o servidor?
>
> Os sintomas que você reporta são fortes indícios de que estes clientes 
> estão infectados com algum tipo de artefato malicioso.
>
> Como medida paliativa, e de posse das características das consultas, 
> você pode tentar usar RPZ[1] para mitigar o problema.
>
> Como solução definitiva, identificado o problema, tente ajudar seus 
> clientes a removerem o artefato de suas máquinas/CPEs etc...
>
> >
> > Obrigado desde já e desculpem se não é o local mais adequado.
> >
> >
> >
> > Atenciosamente,
> >
> > Bruno
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> Fred
>
> [1] https://en.wikipedia.org/wiki/Response_policy_zone
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter