[GTER] RES: DNS Alto Trafego

Wed Mar 1 15:39:10 -03 2017

Caro amigo, faça isso em todas as ONUs parks:

conf t
!
!
access-list bloqueio53 deny udp any any eq 53
!
!
interface pppoe1
 ip access-group bloqueio53 in
!
end
copy r s

Também tenho casos de roteadores e DVR (intelbras e outros) que também
causam isto.

Décio
Md

Em 1 de março de 2017 14:44, Fábio Hernandes <fabio at hernandes.eti.br> escreveu:
> E qual é a explicação?
>
>
> --
> Fábio R. Hernandes
> Fone: (17) 99643 6715
> Skype: hernandes.fabio
>
> Em 1 de março de 2017 12:03, Bruno Zerves / Pulsive Digital Experience <
> bruno at pulsive.com.br> escreveu:
>
>> Pessoal, recebemos uma orientação para retirar das ONUs o DNS Relay, e
>> setar os nossos DNS Manualmente.
>>
>> Testamos uns alguns clientes e aparentemente está resolvendo o problema...
>> Vamos seguir na configuração
>>
>> Obrigado à todos!
>>
>> -----Mensagem original-----
>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Lista
>> Enviada em: quarta-feira, 1 de março de 2017 09:42
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
>> gter at eng.registro.br>; Frederico A C Neves <fneves at registro.br>
>> Assunto: Re: [GTER] DNS Alto Trafego
>>
>> @Frederico
>>
>> Interessante este projeto. vcs já chegaram a medir a carga que isto
>> poderia levar num servidor recursivo? Se isto pode ser considerado até uma
>> best practice para a cartilha de segurança do Nic.BR, relacionado a
>> Segurança de DNS Recursivos?
>> Podemos dizer que está ferramenta seria uma boa combatente para as
>> maquinas infectadas com bootnet, ter um nxdomain ou algo do genero ao
>> consultar suas command control?
>>
>> Agora uma coisa que não ficou clara para mim, como ele vai disparar um
>> e-mail para Alice[¹] e informar que o que ela está tentando acessar poder
>> ser malicioso, quero dizer como o sistema vai entender isto e enviar o
>> e-mail corretamente?
>>
>> [¹]https://en.wikipedia.org/wiki/Response_policy_zone#Example_of_use
>>
>>
>>
>> Em 1 de março de 2017 09:21, Frederico A C Neves <fneves at registro.br>
>> escreveu:
>>
>> > Bruno,
>> >
>> > On Tue, Feb 28, 2017 at 11:36:54PM -0300, Bruno Zerves / Pulsive
>> > Digital Experience wrote:
>> > > Boa noite pessoal, venho aqui pedir alguma dica de vocês, pois
>> > > estamos esgotando as tentativas de solução.
>> > >
>> > >
>> > >
>> > > Temos um cenário de um provedor com cerca de 500 clientes conectados
>> > > simultaneamente ao concentrador. De uns tempos pra cá, percebemos
>> > > que
>> > pelo
>> > > menos 100 clientes (nem sempre os mesmos 100) enviam requisições ao
>> > > DNS (Feito em Debian + BIND) que chegam a dar 4, 5mbps cada cliente,
>> > > gerando
>> > um
>> > > tráfego grande e causando lentidão na entrega das requisições reais.
>> > >
>> > >
>> > >
>> > > O servidor está bloqueado para fora da rede do provedor, mas parece
>> > > que
>> > os
>> > > próprios clientes estão atacando.
>> > >
>> > >
>> > >
>> > > Como este servidor está virtualizado, refizemos e redirecionamos um
>> > > novo, durou poucas horas, e voltou a apresentar os sintomas.
>> > >
>> > >
>> > >
>> > > Este DNS estava rodando à uns 2 anos sem problemas, e seguindo todas
>> > > as recomendações de boas práticas.
>> > >
>> > >
>> > >
>> > > Alguém já passou por isso ou tem uma dica pra tentar resolver? A
>> > > única
>> > forma
>> > > que achamos de parar o tráfego foi desabilitando a recursão, mas daí
>> > ninguém
>> > > consegue consultar...
>> > >
>> >
>> > Você tem alguma coleta das consultas que estes clientes tem enviado
>> > para o servidor?
>> >
>> > Os sintomas que você reporta são fortes indícios de que estes clientes
>> > estão infectados com algum tipo de artefato malicioso.
>> >
>> > Como medida paliativa, e de posse das características das consultas,
>> > você pode tentar usar RPZ[1] para mitigar o problema.
>> >
>> > Como solução definitiva, identificado o problema, tente ajudar seus
>> > clientes a removerem o artefato de suas máquinas/CPEs etc...
>> >
>> > >
>> > > Obrigado desde já e desculpem se não é o local mais adequado.
>> > >
>> > >
>> > >
>> > > Atenciosamente,
>> > >
>> > > Bruno
>> > >
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> > Fred
>> >
>> > [1] https://en.wikipedia.org/wiki/Response_policy_zone
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter