[GTER] RES: DNS Alto Trafego
Diego Canton de Brito
diegocdeb at hotmail.com
Wed Mar 1 23:03:48 -03 2017
Rúbens isso tem cara de que esse "Relay" inicia um DNS server (bem básico) na CPE que faz um Forward, a CPE não deve ter nenhuma proteção pré programada para quando ativado o recurso o servidor só responda a interface LOCAL e assim ele passa a responder em todas, isso inclui a WAN. Quase como o caso do "DNS Recursivo Aberto", com a diferença que ele não resolve, mas encaminha.
As CPEs devem estar recebendo consultas aleatórias, como pode ser visto no LOG do Unbound dele.
Se ele usar o TCPDUMP para coletar, terá a origem (CPEs) atacantes. E se conseguir obter isso num Roteador antes da CPE tbm deverá notar que um ou alguns IPs estão enviando Consultas para essas CPEs em blocos de IPs completos.
Quando tratei de servidores DNS aqui, notamos muito isso. Muitas CPEs possuem UDP 53, 123 e 1900 abertas para a WAN, no caso da 53 eles mandam para as CPEs e elas maltratam o servidor DNS do servidor, é só bloquear a UDP 53 input na CPE que milagrosamente essas consultas param no servidor. Um bom exemplo disso está no Mikrotik, se ativar aquela opção de DNS dele terá esse caso, é desativar o recurso e verá que o cache local some e o IP desta CPE para de inundar o server.
Quanto a consulta, já vi isso ocorrer no Servidores que possuo que estão para meus clientes provedores, nunca consegui observar o que ocorre na CPE. Na época do ataque aos Ubiquiti, tbm vi consultas semelhantes, ocorriam de CPEs infectadas por uma versão só MF que consultava IPs de 0.0.0.0. a 255.255.255.255. esse ponto no fim dá consulta fazia ele consultar isso como se fosse AAAA, nunca entendi.
Seria legal o rapaz do caso usar o TCPDUMP no servidor para Identificar uma das CPEs que está inundando e testar se ela responde a consultas DNS no IP de WAN.
Fiquem de olho nas UDP 53, 123 e 1900 (DNS, NTP e uPnP/SSDP) entrantes, pois esses protocolos UDP permitem amplificar ataques e muitas vezes não afetam sua própria infra, mas a de terceiros. De 512Kbps em 512Kbps a coisa vira Gbps.
Por favor, me corrijam se disse alguma besteira, estamos aqui para aprender.
Obter o Outlook para Android<https://aka.ms/ghei36>
De: Rubens Kuhl
Enviado: quarta, 1 de março 20:58
Assunto: Re: [GTER] RES: DNS Alto Trafego
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
2017-03-01 20:40 GMT-03:00 Bruno Zerves / Pulsive Digital Experience < bruno at pulsive.com.br>: > Gente boa, o meu problema aqui foi resolvido desabilitando o DNS relay das > ONUs. Tava gerando tráfego contra o DNS. Foi só começar a desabilitar que > começou imediatamente a baixar o tráfego. > Mas é bug das ONUs, ou suas ONUs agora são um exército zumbi ? Rubens -- gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list