[GTER] RES: DNS Alto Trafego

Diego Canton de Brito diegocdeb at hotmail.com
Wed Mar 1 11:34:09 -03 2017 

De uma olhada no tráfego com direção a esses clientes, procure pela porta 53 UDP, se houver esse tráfego de entrada, bom pode ser um ataque de amplificação, usando seus clientes para amplificar o ataque.

nslookup google.com [ip_de_um_cliente]

Se isso retornar alguma resolução, de uma analisada em como bloquear o tráfego de input UDP 53 nessas CPEs.

dnstop e tcpdump ajudam bastante a identificar a origem e/ou se as consultas são normais ou um problema.

Obter o Outlook para Android<https://aka.ms/ghei36>


________________________________
From: gter <gter-bounces at eng.registro.br> on behalf of Bruno Zerves / Pulsive Digital Experience <bruno at pulsive.com.br>
Sent: Wednesday, March 1, 2017 9:45:44 AM
To: 'Grupo de Trabalho de Engenharia e Operacao de Redes'
Subject: [GTER] RES: DNS Alto Trafego

O pessoal da Parks nos recomendou desativar o DNS Relay das ONUs e setar o
nosso DNS direto no DHCP Server de cada uma. Mas não acredito que isso possa
causar todo esse tráfego de cada cliente e o sistema estava funcionando já
faz uns 2 anos e nunca teve esse problema, por isso também creio numa
infecção. Posto o log do DNS aqui na sequência...

Obrigado

-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Frederico A C
Neves
Enviada em: quarta-feira, 1 de março de 2017 09:22
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
<gter at eng.registro.br>
Assunto: Re: [GTER] DNS Alto Trafego

Bruno,

On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive Digital
Experience wrote:
> Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois estamos
> esgotando as tentativas de solução.
>
>
>
> Temos um cenário de um provedor com cerca de 500 clientes conectados
> simultaneamente ao concentrador. De uns tempos pra cá, percebemos que
> pelo menos 100 clientes (nem sempre os mesmos 100) enviam requisições
> ao DNS (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada
> cliente, gerando um tráfego grande e causando lentidão na entrega das
requisições reais.
>
>
>
> O servidor está bloqueado para fora da rede do provedor, mas parece
> que os próprios clientes estão atacando.
>
>
>
> Como este servidor está virtualizado, refizemos e redirecionamos um
> novo, durou poucas horas, e voltou a apresentar os sintomas.
>
>
>
> Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas
> as recomendações de boas práticas.
>
>
>
> Alguém já passou por isso ou tem uma dica pra tentar resolver? A única
> forma que achamos de parar o tráfego foi desabilitando a recursão, mas
> daí ninguém consegue consultar...
>

Você tem alguma coleta das consultas que estes clientes tem enviado para o
servidor?

Os sintomas que você reporta são fortes indícios de que estes clientes estão
infectados com algum tipo de artefato malicioso.

Como medida paliativa, e de posse das características das consultas, você
pode tentar usar RPZ[1] para mitigar o problema.

Como solução definitiva, identificado o problema, tente ajudar seus clientes
a removerem o artefato de suas máquinas/CPEs etc...

>
> Obrigado desde já e desculpem se não é o local mais adequado.
>
>
>
> Atenciosamente,
>
> Bruno
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

Fred

[1] https://en.wikipedia.org/wiki/Response_policy_zone
--
gter list    https://eng.registro.br/mailman/listinfo/gter

--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list