[GTER] Portas de origem para query DNS
Gabriel Mineiro
mineiro at tca.com.br
Tue Dec 18 08:48:02 -02 2018
Saudações,
Não há CGNAT na rede, apenas o NAT da CPE. O dispositivos dentro da rede dos clientes recebem o DNS da CPE, e esta aponta para o recursivo do provedor.
Não deve ser DDoS porque é bem esporádico. O cliente envia de 3 a 5 pacotes para o DNS recursivo com origem na porta 123, por exemplo, e logo já muda para outra porta.
Segue um exemplo:
User Datagram Protocol, Src Port: 123, Dst Port: 53
Source Port: 123
Destination Port: 53
Length: 49
Checksum: 0x3066 [unverified]
[Checksum Status: Unverified]
[Stream index: 33]
Domain Name System (query)
Gabriel Mineiro
-----Mensagem original-----
De: gter <gter-bounces at eng.registro.br> Em nome de Paulo Henrique
Enviada em: segunda-feira, 17 de dezembro de 2018 18:02
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Assunto: Re: [GTER] Portas de origem para query DNS
Saudações,
Provavelmente o cliente que está realizando essas requisições deve estar infectado com alguma botnet utilizado para realizar ampliação de DDoS, visto que solicitações de consulta DNS são realizado por portas altas, normalmente superior a porta 50000, lamento te informar porém acho que você está sendo o alvo de um DDoS, porém pequeno e que não esta interferindo ainda na sua operação.
Att. Paulo Henrique.
Em seg, 17 de dez de 2018 às 19:40, Gabriel Mineiro <mineiro at tca.com.br>
escreveu:
> Boa tarde pessoal.
>
> Existe alguma norma ou recomendação indicando o range
> de portas de origem que deve ser usado pelo daemon para query de DNS?
> Percebi que alguns clientes estão enviando requisições com origem nas
> portas baixas, como 81, 123 e 135.
>
>
> Obrigado
>
> Gabriel Mineiro
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list