[lacnog] DDoS, ataques de amplificacion y BCP38

Carlos M. Martinez carlosmarcelomartinez en gmail.com
Lun Abr 1 13:47:31 BRT 2013


De acuerdo que deben haber otros factores, pero sobre el tema de equipos
comprometidos, ¿porque instalar un DNS si he comprometido un equipo
cuando puedo instalar algo mucho mas sofisticado?

On 4/1/13 1:42 PM, Eduardo Trápani wrote:
>> El tema de los open resolvers es increible... como algo tan facil de
>> corregir es completamente ignorado por la gente.
>>
>> ¿Que nos pasa?
> [...]
>
>> Los open resolvers que son problematicos, en su gran mayoria, estan ahi
>> simplemente por desidia / negligencia.
> Todo eso me parece un poco simplista.  Hay varios "culpables" y vaya uno
> a saber cuál es la mayoría.  Por ejemplo:
>
> Sólo por probar, puse en openresolverproject.org la red /24 que
> corresponde a la dirección del ADSL de casa en este momento
> 186.52.57.0/24 (en unas horas será otra).  Mi proveedor separa los
> rangos hogareños de los empresariales.
>
> Viendo el resultado (33 en un /24) me inclino a pensar que los resolvers
> abiertos tienen más mucho que ver con equipos comprometidos que con
> servidores reales mal configurados. No encuentro otra manera de entender
> que en el rango de ADSL haya tantos, salvo que algún sistema operativo
> esté instalando por defecto un cache resolver o algo así que escuche en
> la dirección externa.
>
> Pero hay más.  Por ejemplo,  dnsmasq[1] escucha(ba) por defecto en todos
> las interfaces, lo que te deja con un open resolver en los protocolos en
> los que estés (en mi caso me pasaba en ipv6 también).  Acá está la
> entrada de CVE[2].  RedHat recién lo arregló en febrero, pero no todas
> las distribuciones lo solucionaron.
>
> A lo que voy es que hay un escenario más complejo que la simple
> desidia/ignorancia por parte de administradores de DNS.  Si entendemos
> el problema con todos sus actores, va a ser más fácil arreglarlo.
>
> Eduardo.
>
> [1] http://packages.debian.org/squeeze/dnsmasq
> [2] https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-3411
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net




Más información sobre la lista de distribución LACNOG