[GTER] RES: RES: DNS Alto Trafego

Bruno Zerves / Pulsive Digital Experience bruno at pulsive.com.br
Wed Mar 1 23:56:08 -03 2017 

Diego, parece ter muito sentido a sua colocação. Acredito que o pessoal já
concluiu às alterações no provedor pra terminar com o problema, mas posso
simular o problema novamente pra testar com o TCPDUMP e ver, apesar de que
através do torch, as maiores consultas eram ONU -> Servidor de DNS, porta 53
UDP... Tivemos que tirar o DNS secundário do ar também pq senão dobrava, as
ONUs consultavam 5mb no primário e 5mb no secundário, daí sim tava
estourando gbps bem tranquilo...

Que bom que conseguimos entender que o problema partia daí, pq tava dando um
transtorno bravo... Não impedia navegação, mas demorava pra caramba pra
começar a abrir as páginas, o processamento do DNS ficou bombando...

Bruno

-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Diego Canton de
Brito
Enviada em: quarta-feira, 1 de março de 2017 23:04
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
<gter at eng.registro.br>
Assunto: Re: [GTER] RES: DNS Alto Trafego

Rúbens isso tem cara de que esse "Relay" inicia um DNS server (bem básico)
na CPE que faz um Forward, a CPE não deve ter nenhuma proteção pré
programada para quando ativado o recurso o servidor só responda a interface
LOCAL e assim ele passa a responder em todas, isso inclui a WAN. Quase como
o caso do "DNS Recursivo Aberto", com a diferença que ele não resolve, mas
encaminha.

As CPEs devem estar recebendo consultas aleatórias, como pode ser visto no
LOG do Unbound dele.

Se ele usar o TCPDUMP para coletar, terá a origem (CPEs) atacantes. E se
conseguir obter isso num Roteador antes da CPE tbm deverá notar que um ou
alguns IPs estão enviando Consultas para essas CPEs em blocos de IPs
completos.

Quando tratei de servidores DNS aqui, notamos muito isso. Muitas CPEs
possuem UDP 53, 123 e 1900 abertas para a WAN, no caso da 53 eles mandam
para as CPEs e elas maltratam o servidor DNS do servidor, é só bloquear a
UDP 53 input na CPE que milagrosamente essas consultas param no servidor. Um
bom exemplo disso está no Mikrotik, se ativar aquela opção de DNS dele terá
esse caso, é desativar o recurso e verá que o cache local some e o IP desta
CPE para de inundar o server.

Quanto a consulta, já vi isso ocorrer no Servidores que possuo que estão
para meus clientes provedores, nunca consegui observar o que ocorre na CPE.
Na época do ataque aos Ubiquiti, tbm vi consultas semelhantes, ocorriam de
CPEs infectadas por uma versão só MF que consultava IPs de 0.0.0.0. a
255.255.255.255. esse ponto no fim dá consulta fazia ele consultar isso como
se fosse AAAA, nunca entendi.

Seria legal o rapaz do caso usar o TCPDUMP no servidor para Identificar uma
das CPEs que está inundando e testar se ela responde a consultas DNS no IP
de WAN.

Fiquem de olho nas  UDP 53, 123 e 1900 (DNS, NTP e uPnP/SSDP) entrantes,
pois esses protocolos UDP permitem amplificar ataques e muitas vezes não
afetam sua própria infra, mas a de terceiros. De 512Kbps em 512Kbps a coisa
vira Gbps.

Por favor, me corrijam se disse alguma besteira, estamos aqui para aprender.

Obter o Outlook para Android<https://aka.ms/ghei36>


De: Rubens Kuhl
Enviado: quarta, 1 de março 20:58
Assunto: Re: [GTER] RES: DNS Alto Trafego
Para: Grupo de Trabalho de Engenharia e Operacao de Redes

2017-03-01 20:40 GMT-03:00 Bruno Zerves / Pulsive Digital Experience <
bruno at pulsive.com.br>: > Gente boa, o meu problema aqui foi resolvido
desabilitando o DNS relay das > ONUs. Tava gerando tráfego contra o DNS. Foi
só começar a desabilitar que > começou imediatamente a baixar o tráfego. >
Mas é bug das ONUs, ou suas ONUs agora são um exército zumbi ? Rubens --
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list