[GTER] RES: DNS Alto Trafego

Ivan Marzariolli imarzariolli at gmail.com
Thu Mar 2 10:41:25 -03 2017 

Ja testou algum DNS Application Firewall ?



> Em 2 de mar de 2017, à(s) 10:32, gter-request at eng.registro.br escreveu:
> 
> Send gter mailing list submissions to
> 	gter at eng.registro.br
> 
> To subscribe or unsubscribe via the World Wide Web, visit
> 	https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
> 	gter-request at eng.registro.br
> 
> You can reach the person managing the list at
> 	gter-owner at eng.registro.br
> 
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
> 
> 
> Today's Topics:
> 
>   1. RES:  RES: DNS Alto Trafego
>      (Bruno Zerves / Pulsive Digital Experience)
>   2. Re: RES: DNS Alto Trafego (Francisco V Brasileiro)
>   3. Re: RES: DNS Alto Trafego (Lucas Willian Bocchi)
>   4. Re: RES: DNS Alto Trafego (F?bio Hernandes)
>   5. Re: RES: DNS Alto Trafego (Henrique de Moraes Holschuh)
>   6. Re: RES: DNS Alto Trafego (S?vio Marques)
> 
> 
> ----------------------------------------------------------------------
> 
> Message: 1
> Date: Wed, 1 Mar 2017 23:56:08 -0300
> From: "Bruno Zerves / Pulsive Digital Experience"
> 	<bruno at pulsive.com.br>
> To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'"
> 	<gter at eng.registro.br>
> Subject: [GTER] RES:  RES: DNS Alto Trafego
> Message-ID: <00f001d29300$8cfc1720$a6f44560$@pulsive.com.br>
> Content-Type: text/plain;	charset="iso-8859-1"
> 
> Diego, parece ter muito sentido a sua coloca??o. Acredito que o pessoal j?
> concluiu ?s altera??es no provedor pra terminar com o problema, mas posso
> simular o problema novamente pra testar com o TCPDUMP e ver, apesar de que
> atrav?s do torch, as maiores consultas eram ONU -> Servidor de DNS, porta 53
> UDP... Tivemos que tirar o DNS secund?rio do ar tamb?m pq sen?o dobrava, as
> ONUs consultavam 5mb no prim?rio e 5mb no secund?rio, da? sim tava
> estourando gbps bem tranquilo...
> 
> Que bom que conseguimos entender que o problema partia da?, pq tava dando um
> transtorno bravo... N?o impedia navega??o, mas demorava pra caramba pra
> come?ar a abrir as p?ginas, o processamento do DNS ficou bombando...
> 
> Bruno
> 
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Diego Canton de
> Brito
> Enviada em: quarta-feira, 1 de mar?o de 2017 23:04
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Assunto: Re: [GTER] RES: DNS Alto Trafego
> 
> R?bens isso tem cara de que esse "Relay" inicia um DNS server (bem b?sico)
> na CPE que faz um Forward, a CPE n?o deve ter nenhuma prote??o pr?
> programada para quando ativado o recurso o servidor s? responda a interface
> LOCAL e assim ele passa a responder em todas, isso inclui a WAN. Quase como
> o caso do "DNS Recursivo Aberto", com a diferen?a que ele n?o resolve, mas
> encaminha.
> 
> As CPEs devem estar recebendo consultas aleat?rias, como pode ser visto no
> LOG do Unbound dele.
> 
> Se ele usar o TCPDUMP para coletar, ter? a origem (CPEs) atacantes. E se
> conseguir obter isso num Roteador antes da CPE tbm dever? notar que um ou
> alguns IPs est?o enviando Consultas para essas CPEs em blocos de IPs
> completos.
> 
> Quando tratei de servidores DNS aqui, notamos muito isso. Muitas CPEs
> possuem UDP 53, 123 e 1900 abertas para a WAN, no caso da 53 eles mandam
> para as CPEs e elas maltratam o servidor DNS do servidor, ? s? bloquear a
> UDP 53 input na CPE que milagrosamente essas consultas param no servidor. Um
> bom exemplo disso est? no Mikrotik, se ativar aquela op??o de DNS dele ter?
> esse caso, ? desativar o recurso e ver? que o cache local some e o IP desta
> CPE para de inundar o server.
> 
> Quanto a consulta, j? vi isso ocorrer no Servidores que possuo que est?o
> para meus clientes provedores, nunca consegui observar o que ocorre na CPE.
> Na ?poca do ataque aos Ubiquiti, tbm vi consultas semelhantes, ocorriam de
> CPEs infectadas por uma vers?o s? MF que consultava IPs de 0.0.0.0. a
> 255.255.255.255. esse ponto no fim d? consulta fazia ele consultar isso como
> se fosse AAAA, nunca entendi.
> 
> Seria legal o rapaz do caso usar o TCPDUMP no servidor para Identificar uma
> das CPEs que est? inundando e testar se ela responde a consultas DNS no IP
> de WAN.
> 
> Fiquem de olho nas  UDP 53, 123 e 1900 (DNS, NTP e uPnP/SSDP) entrantes,
> pois esses protocolos UDP permitem amplificar ataques e muitas vezes n?o
> afetam sua pr?pria infra, mas a de terceiros. De 512Kbps em 512Kbps a coisa
> vira Gbps.
> 
> Por favor, me corrijam se disse alguma besteira, estamos aqui para aprender.
> 
> Obter o Outlook para Android<https://aka.ms/ghei36>
> 
> 
> De: Rubens Kuhl
> Enviado: quarta, 1 de mar?o 20:58
> Assunto: Re: [GTER] RES: DNS Alto Trafego
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> 
> 2017-03-01 20:40 GMT-03:00 Bruno Zerves / Pulsive Digital Experience <
> bruno at pulsive.com.br>: > Gente boa, o meu problema aqui foi resolvido
> desabilitando o DNS relay das > ONUs. Tava gerando tr?fego contra o DNS. Foi
> s? come?ar a desabilitar que > come?ou imediatamente a baixar o tr?fego. >
> Mas ? bug das ONUs, ou suas ONUs agora s?o um ex?rcito zumbi ? Rubens --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> 
> ------------------------------
> 
> Message: 2
> Date: Wed, 1 Mar 2017 23:50:26 -0300
> From: Francisco V Brasileiro <francisco at brasileiro.adm.br>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> 	<gter at eng.registro.br>
> Subject: Re: [GTER] RES: DNS Alto Trafego
> Message-ID:
> 	<CACkLYe6B4GXh8ZyY14dLSrOBh3RSyOMH-y4zcn6jzB3Rziodqw at mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
> 
> Sendo um bug, qual o gatilho?
> 
> Em 1 de mar de 2017 22:38, "Bruno Zerves / Pulsive Digital Experience" <
> bruno at pulsive.com.br> escreveu:
> 
>> Rubens, acredito ser bug no firmware da ONUs, fabricante pelo visto j?
>> estava ciente, mandou atualizar o firmware, desativar o DNS relay e setar
>> os DNS manualmente...
>> 
>> Bruno
>> 
>> Enviado do meu iPhone
>> 
>>> Em 1 de mar de 2017, ?s 20:58, Rubens Kuhl <rubensk at gmail.com> escreveu:
>>> 
>>> 2017-03-01 20:40 GMT-03:00 Bruno Zerves / Pulsive Digital Experience <
>>> bruno at pulsive.com.br>:
>>> 
>>>> Gente boa, o meu problema aqui foi resolvido desabilitando o DNS relay
>> das
>>>> ONUs. Tava gerando tr?fego contra o DNS. Foi s? come?ar a desabilitar
>> que
>>>> come?ou imediatamente a baixar o tr?fego.
>>>> 
>>> 
>>> Mas ? bug das ONUs, ou suas ONUs agora s?o um ex?rcito zumbi ?
>>> 
>>> Rubens
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> ------------------------------
> 
> Message: 3
> Date: Thu, 2 Mar 2017 08:24:28 -0300
> From: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> 	<gter at eng.registro.br>
> Subject: Re: [GTER] RES: DNS Alto Trafego
> Message-ID:
> 	<CA+m52=eKj8E2=TTQGbwL=T1Taipg6j-QrcFExGS+LJEHNiDHfA at mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
> 
> Mikrotik e cpe's afins usam o dnsmasq. O dnsmasq n?o possui (pelo menos eu
> nunca achei, me corrijam se eu estiver errado) um "allow-query" da vida
> para configurar somente determinado range para as consultas. Apartir do
> momento que vc abriu a cara dele pra internet, todo mundo pode consultar
> ele numa boa. Se tiver, tremenda cagada do mikrotik n?o colocar um campo l?
> pra poder limitar a consulta a uma determinada faixa.
> 
> Em 1 de mar?o de 2017 23:50, Francisco V Brasileiro <
> francisco at brasileiro.adm.br> escreveu:
> 
>> Sendo um bug, qual o gatilho?
>> 
>> Em 1 de mar de 2017 22:38, "Bruno Zerves / Pulsive Digital Experience" <
>> bruno at pulsive.com.br> escreveu:
>> 
>>> Rubens, acredito ser bug no firmware da ONUs, fabricante pelo visto j?
>>> estava ciente, mandou atualizar o firmware, desativar o DNS relay e setar
>>> os DNS manualmente...
>>> 
>>> Bruno
>>> 
>>> Enviado do meu iPhone
>>> 
>>>> Em 1 de mar de 2017, ?s 20:58, Rubens Kuhl <rubensk at gmail.com>
>> escreveu:
>>>> 
>>>> 2017-03-01 20:40 GMT-03:00 Bruno Zerves / Pulsive Digital Experience <
>>>> bruno at pulsive.com.br>:
>>>> 
>>>>> Gente boa, o meu problema aqui foi resolvido desabilitando o DNS relay
>>> das
>>>>> ONUs. Tava gerando tr?fego contra o DNS. Foi s? come?ar a desabilitar
>>> que
>>>>> come?ou imediatamente a baixar o tr?fego.
>>>>> 
>>>> 
>>>> Mas ? bug das ONUs, ou suas ONUs agora s?o um ex?rcito zumbi ?
>>>> 
>>>> Rubens
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> 
> 
> ------------------------------
> 
> Message: 4
> Date: Thu, 2 Mar 2017 09:42:10 -0300
> From: F?bio Hernandes <fabio at hernandes.eti.br>
> To: LISTA GTER <gter at eng.registro.br>
> Subject: Re: [GTER] RES: DNS Alto Trafego
> Message-ID:
> 	<CAOssMTXWk2Q_tnrF18PWxDUH2aNCstVLSXd5t-g4JugUSUYcVA at mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
> 
> S? fechando as portas via firewall.
> 
> Em 02/03/2017 09:00, "Lucas Willian Bocchi" <lucas.bocchi at gmail.com>
> escreveu:
> 
>> Mikrotik e cpe's afins usam o dnsmasq. O dnsmasq n?o possui (pelo menos eu
>> nunca achei, me corrijam se eu estiver errado) um "allow-query" da vida
>> para configurar somente determinado range para as consultas. Apartir do
>> momento que vc abriu a cara dele pra internet, todo mundo pode consultar
>> ele numa boa. Se tiver, tremenda cagada do mikrotik n?o colocar um campo l?
>> pra poder limitar a consulta a uma determinada faixa.
>> 
>> Em 1 de mar?o de 2017 23:50, Francisco V Brasileiro <
>> francisco at brasileiro.adm.br> escreveu:
>> 
>>> Sendo um bug, qual o gatilho?
>>> 
>>> Em 1 de mar de 2017 22:38, "Bruno Zerves / Pulsive Digital Experience" <
>>> bruno at pulsive.com.br> escreveu:
>>> 
>>>> Rubens, acredito ser bug no firmware da ONUs, fabricante pelo visto j?
>>>> estava ciente, mandou atualizar o firmware, desativar o DNS relay e
>> setar
>>>> os DNS manualmente...
>>>> 
>>>> Bruno
>>>> 
>>>> Enviado do meu iPhone
>>>> 
>>>>> Em 1 de mar de 2017, ?s 20:58, Rubens Kuhl <rubensk at gmail.com>
>>> escreveu:
>>>>> 
>>>>> 2017-03-01 20:40 GMT-03:00 Bruno Zerves / Pulsive Digital Experience
>> <
>>>>> bruno at pulsive.com.br>:
>>>>> 
>>>>>> Gente boa, o meu problema aqui foi resolvido desabilitando o DNS
>> relay
>>>> das
>>>>>> ONUs. Tava gerando tr?fego contra o DNS. Foi s? come?ar a
>> desabilitar
>>>> que
>>>>>> come?ou imediatamente a baixar o tr?fego.
>>>>>> 
>>>>> 
>>>>> Mas ? bug das ONUs, ou suas ONUs agora s?o um ex?rcito zumbi ?
>>>>> 
>>>>> Rubens
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> 
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> ------------------------------
> 
> Message: 5
> Date: Thu, 02 Mar 2017 09:22:03 -0300
> From: Henrique de Moraes Holschuh <hmh at hmh.eng.br>
> To: gter at eng.registro.br
> Subject: Re: [GTER] RES: DNS Alto Trafego
> Message-ID:
> 	<1488457323.3418652.897998008.0BB0E57D at webmail.messagingengine.com>
> Content-Type: text/plain; charset="utf-8"
> 
> On Thu, Mar 2, 2017, at 08:24, Lucas Willian Bocchi wrote:
>> Mikrotik e cpe's afins usam o dnsmasq. O dnsmasq n?o possui (pelo menos
>> eu
>> nunca achei, me corrijam se eu estiver errado) um "allow-query" da vida
>> para configurar somente determinado range para as consultas. Apartir do
>> momento que vc abriu a cara dele pra internet, todo mundo pode consultar
>> ele numa boa. Se tiver, tremenda cagada do mikrotik n?o colocar um campo
>> l?
>> pra poder limitar a consulta a uma determinada faixa.
> 
> dnsmasq ? usado por padr?o no OpenWRT/LEDE, e nem por isso tem milh?es
> de caixas OpenWRT com recusivo aberto.
> 
> Basta que a configura??o padr?o n?o seja absurda (e perigosa).
> 
> -- 
>  Henrique Holschuh
> 
> 
> ------------------------------
> 
> Message: 6
> Date: Thu, 2 Mar 2017 09:22:41 -0400
> From: S?vio Marques <savio.marques at sustentatelecom.com.br>
> To: gter at eng.registro.br
> Subject: Re: [GTER] RES: DNS Alto Trafego
> Message-ID:
> 	<be749750-b0d0-3fcf-bf77-f30a8d47c65d at sustentatelecom.com.br>
> Content-Type: text/plain; charset=utf-8; format=flowed
> 
> @Lucas
> 
> No RoS, voc? pode criar regras de acordo com sua necessidade para 
> efetuar os bloqueios de consultas.
> 
> Att..
> 
> 
> Em 02/03/2017 07:24, Lucas Willian Bocchi escreveu:
>> Mikrotik e cpe's afins usam o dnsmasq. O dnsmasq n?o possui (pelo menos eu
>> nunca achei, me corrijam se eu estiver errado) um "allow-query" da vida
>> para configurar somente determinado range para as consultas. Apartir do
>> momento que vc abriu a cara dele pra internet, todo mundo pode consultar
>> ele numa boa. Se tiver, tremenda cagada do mikrotik n?o colocar um campo l?
>> pra poder limitar a consulta a uma determinada faixa.
>> 
>> Em 1 de mar?o de 2017 23:50, Francisco V Brasileiro <
>> francisco at brasileiro.adm.br> escreveu:
>> 
>>> Sendo um bug, qual o gatilho?
>>> 
>>> Em 1 de mar de 2017 22:38, "Bruno Zerves / Pulsive Digital Experience" <
>>> bruno at pulsive.com.br> escreveu:
>>> 
>>>> Rubens, acredito ser bug no firmware da ONUs, fabricante pelo visto j?
>>>> estava ciente, mandou atualizar o firmware, desativar o DNS relay e setar
>>>> os DNS manualmente...
>>>> 
>>>> Bruno
>>>> 
>>>> Enviado do meu iPhone
>>>> 
>>>>> Em 1 de mar de 2017, ?s 20:58, Rubens Kuhl <rubensk at gmail.com>
>>> escreveu:
>>>>> 2017-03-01 20:40 GMT-03:00 Bruno Zerves / Pulsive Digital Experience <
>>>>> bruno at pulsive.com.br>:
>>>>> 
>>>>>> Gente boa, o meu problema aqui foi resolvido desabilitando o DNS relay
>>>> das
>>>>>> ONUs. Tava gerando tr?fego contra o DNS. Foi s? come?ar a desabilitar
>>>> que
>>>>>> come?ou imediatamente a baixar o tr?fego.
>>>>>> 
>>>>> Mas ? bug das ONUs, ou suas ONUs agora s?o um ex?rcito zumbi ?
>>>>> 
>>>>> Rubens
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> 
> ------------------------------
> 
> Subject: Digest Footer
> 
> --
> gter digest list    https://eng.registro.br/mailman/listinfo/gter
> 
> ------------------------------
> 
> End of gter Digest, Vol 168, Issue 8
> ************************************

More information about the gter mailing list