[lacnog] DDoS, ataques de amplificacion y BCP38

Eduardo Trápani etrapani en gmail.com
Lun Abr 1 13:42:39 BRT 2013


> El tema de los open resolvers es increible... como algo tan facil de
> corregir es completamente ignorado por la gente.
> 
> ¿Que nos pasa?

[...]

> Los open resolvers que son problematicos, en su gran mayoria, estan ahi
> simplemente por desidia / negligencia.

Todo eso me parece un poco simplista.  Hay varios "culpables" y vaya uno
a saber cuál es la mayoría.  Por ejemplo:

Sólo por probar, puse en openresolverproject.org la red /24 que
corresponde a la dirección del ADSL de casa en este momento
186.52.57.0/24 (en unas horas será otra).  Mi proveedor separa los
rangos hogareños de los empresariales.

Viendo el resultado (33 en un /24) me inclino a pensar que los resolvers
abiertos tienen más mucho que ver con equipos comprometidos que con
servidores reales mal configurados. No encuentro otra manera de entender
que en el rango de ADSL haya tantos, salvo que algún sistema operativo
esté instalando por defecto un cache resolver o algo así que escuche en
la dirección externa.

Pero hay más.  Por ejemplo,  dnsmasq[1] escucha(ba) por defecto en todos
las interfaces, lo que te deja con un open resolver en los protocolos en
los que estés (en mi caso me pasaba en ipv6 también).  Acá está la
entrada de CVE[2].  RedHat recién lo arregló en febrero, pero no todas
las distribuciones lo solucionaron.

A lo que voy es que hay un escenario más complejo que la simple
desidia/ignorancia por parte de administradores de DNS.  Si entendemos
el problema con todos sus actores, va a ser más fácil arreglarlo.

Eduardo.

[1] http://packages.debian.org/squeeze/dnsmasq
[2] https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-3411



Más información sobre la lista de distribución LACNOG