[GTER] RES: DNS Alto Trafego

Wed Mar 1 14:44:19 -03 2017

E qual é a explicação?

-- 
Fábio R. Hernandes
Fone: (17) 99643 6715
Skype: hernandes.fabio

Em 1 de março de 2017 12:03, Bruno Zerves / Pulsive Digital Experience <
bruno at pulsive.com.br> escreveu:

> Pessoal, recebemos uma orientação para retirar das ONUs o DNS Relay, e
> setar os nossos DNS Manualmente.
>
> Testamos uns alguns clientes e aparentemente está resolvendo o problema...
> Vamos seguir na configuração
>
> Obrigado à todos!
>
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Lista
> Enviada em: quarta-feira, 1 de março de 2017 09:42
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>; Frederico A C Neves <fneves at registro.br>
> Assunto: Re: [GTER] DNS Alto Trafego
>
> @Frederico
>
> Interessante este projeto. vcs já chegaram a medir a carga que isto
> poderia levar num servidor recursivo? Se isto pode ser considerado até uma
> best practice para a cartilha de segurança do Nic.BR, relacionado a
> Segurança de DNS Recursivos?
> Podemos dizer que está ferramenta seria uma boa combatente para as
> maquinas infectadas com bootnet, ter um nxdomain ou algo do genero ao
> consultar suas command control?
>
> Agora uma coisa que não ficou clara para mim, como ele vai disparar um
> e-mail para Alice[¹] e informar que o que ela está tentando acessar poder
> ser malicioso, quero dizer como o sistema vai entender isto e enviar o
> e-mail corretamente?
>
> [¹]https://en.wikipedia.org/wiki/Response_policy_zone#Example_of_use
>
>
>
> Em 1 de março de 2017 09:21, Frederico A C Neves <fneves at registro.br>
> escreveu:
>
> > Bruno,
> >
> > On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive
> > Digital Experience wrote:
> > > Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois
> > > estamos esgotando as tentativas de solução.
> > >
> > >
> > >
> > > Temos um cenário de um provedor com cerca de 500 clientes conectados
> > > simultaneamente ao concentrador. De uns tempos pra cá, percebemos
> > > que
> > pelo
> > > menos 100 clientes (nem sempre os mesmos 100) enviam requisições ao
> > > DNS (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada cliente,
> > > gerando
> > um
> > > tráfego grande e causando lentidão na entrega das requisições reais.
> > >
> > >
> > >
> > > O servidor está bloqueado para fora da rede do provedor, mas parece
> > > que
> > os
> > > próprios clientes estão atacando.
> > >
> > >
> > >
> > > Como este servidor está virtualizado, refizemos e redirecionamos um
> > > novo, durou poucas horas, e voltou a apresentar os sintomas.
> > >
> > >
> > >
> > > Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas
> > > as recomendações de boas práticas.
> > >
> > >
> > >
> > > Alguém já passou por isso ou tem uma dica pra tentar resolver? A
> > > única
> > forma
> > > que achamos de parar o tráfego foi desabilitando a recursão, mas daí
> > ninguém
> > > consegue consultar...
> > >
> >
> > Você tem alguma coleta das consultas que estes clientes tem enviado
> > para o servidor?
> >
> > Os sintomas que você reporta são fortes indícios de que estes clientes
> > estão infectados com algum tipo de artefato malicioso.
> >
> > Como medida paliativa, e de posse das características das consultas,
> > você pode tentar usar RPZ[1] para mitigar o problema.
> >
> > Como solução definitiva, identificado o problema, tente ajudar seus
> > clientes a removerem o artefato de suas máquinas/CPEs etc...
> >
> > >
> > > Obrigado desde já e desculpem se não é o local mais adequado.
> > >
> > >
> > >
> > > Atenciosamente,
> > >
> > > Bruno
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > Fred
> >
> > [1] https://en.wikipedia.org/wiki/Response_policy_zone
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>