[GTER] DNS Alto Trafego

Wed Mar 1 10:32:54 -03 2017

Bruno, já vi algo parecido ocorrer com roteadores tp-link infectados, e já
ouvi relatos de roteadores de outras marcas e até onus infectadas, nem
preciso falar dos radios da ubiquiti né?

Verifica o hardware dos seus clientes, tem coisa ai....

Em 1 de março de 2017 09:41, Lista <lista.gter at gmail.com> escreveu:

> @Frederico
>
> Interessante este projeto. vcs já chegaram a medir a carga que isto poderia
> levar num servidor recursivo? Se isto pode ser considerado até uma best
> practice para a cartilha de segurança do Nic.BR, relacionado a Segurança de
> DNS Recursivos?
> Podemos dizer que está ferramenta seria uma boa combatente para as maquinas
> infectadas com bootnet, ter um nxdomain ou algo do genero ao consultar suas
> command control?
>
> Agora uma coisa que não ficou clara para mim, como ele vai disparar um
> e-mail para Alice[¹] e informar que o que ela está tentando acessar poder
> ser malicioso, quero dizer como o sistema vai entender isto e enviar o
> e-mail corretamente?
>
> [¹]https://en.wikipedia.org/wiki/Response_policy_zone#Example_of_use
>
>
>
> Em 1 de março de 2017 09:21, Frederico A C Neves <fneves at registro.br>
> escreveu:
>
> > Bruno,
> >
> > On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive Digital
> > Experience wrote:
> > > Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois estamos
> > > esgotando as tentativas de solução.
> > >
> > >
> > >
> > > Temos um cenário de um provedor com cerca de 500 clientes conectados
> > > simultaneamente ao concentrador. De uns tempos pra cá, percebemos que
> > pelo
> > > menos 100 clientes (nem sempre os mesmos 100) enviam requisições ao DNS
> > > (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada cliente,
> gerando
> > um
> > > tráfego grande e causando lentidão na entrega das requisições reais.
> > >
> > >
> > >
> > > O servidor está bloqueado para fora da rede do provedor, mas parece que
> > os
> > > próprios clientes estão atacando.
> > >
> > >
> > >
> > > Como este servidor está virtualizado, refizemos e redirecionamos um
> novo,
> > > durou poucas horas, e voltou a apresentar os sintomas.
> > >
> > >
> > >
> > > Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas as
> > > recomendações de boas práticas.
> > >
> > >
> > >
> > > Alguém já passou por isso ou tem uma dica pra tentar resolver? A única
> > forma
> > > que achamos de parar o tráfego foi desabilitando a recursão, mas daí
> > ninguém
> > > consegue consultar...
> > >
> >
> > Você tem alguma coleta das consultas que estes clientes tem enviado
> > para o servidor?
> >
> > Os sintomas que você reporta são fortes indícios de que estes clientes
> > estão infectados com algum tipo de artefato malicioso.
> >
> > Como medida paliativa, e de posse das características das consultas,
> > você pode tentar usar RPZ[1] para mitigar o problema.
> >
> > Como solução definitiva, identificado o problema, tente ajudar seus
> > clientes a removerem o artefato de suas máquinas/CPEs etc...
> >
> > >
> > > Obrigado desde já e desculpem se não é o local mais adequado.
> > >
> > >
> > >
> > > Atenciosamente,
> > >
> > > Bruno
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > Fred
> >
> > [1] https://en.wikipedia.org/wiki/Response_policy_zone
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Tiago Melo Oliveira
CEO - Digitotal
Fone / Whats - 51-99273.3162
skype - tiago.digitotal
www.digitotal.com.br
Digitotal, você conectado ao melhor!