[lacnog] DDoS, ataques de amplificacion y BCP38

Carlos M. Martinez carlosm3011 en gmail.com
Lun Abr 1 13:54:56 BRT 2013


OpenResolvers tiene en cuenta la IP variable ? Es decir, capaz que esos
33 son 5 o 6 en realidad que apacen con diferentes IPs...

On 4/1/13 1:42 PM, Eduardo Trápani wrote:
>> El tema de los open resolvers es increible... como algo tan facil de
>> corregir es completamente ignorado por la gente.
>>
>> ¿Que nos pasa?
> 
> [...]
> 
>> Los open resolvers que son problematicos, en su gran mayoria, estan ahi
>> simplemente por desidia / negligencia.
> 
> Todo eso me parece un poco simplista.  Hay varios "culpables" y vaya uno
> a saber cuál es la mayoría.  Por ejemplo:
> 
> Sólo por probar, puse en openresolverproject.org la red /24 que
> corresponde a la dirección del ADSL de casa en este momento
> 186.52.57.0/24 (en unas horas será otra).  Mi proveedor separa los
> rangos hogareños de los empresariales.
> 
> Viendo el resultado (33 en un /24) me inclino a pensar que los resolvers
> abiertos tienen más mucho que ver con equipos comprometidos que con
> servidores reales mal configurados. No encuentro otra manera de entender
> que en el rango de ADSL haya tantos, salvo que algún sistema operativo
> esté instalando por defecto un cache resolver o algo así que escuche en
> la dirección externa.
> 
> Pero hay más.  Por ejemplo,  dnsmasq[1] escucha(ba) por defecto en todos
> las interfaces, lo que te deja con un open resolver en los protocolos en
> los que estés (en mi caso me pasaba en ipv6 también).  Acá está la
> entrada de CVE[2].  RedHat recién lo arregló en febrero, pero no todas
> las distribuciones lo solucionaron.
> 
> A lo que voy es que hay un escenario más complejo que la simple
> desidia/ignorancia por parte de administradores de DNS.  Si entendemos
> el problema con todos sus actores, va a ser más fácil arreglarlo.
> 
> Eduardo.
> 
> [1] http://packages.debian.org/squeeze/dnsmasq
> [2] https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-3411
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> 



Más información sobre la lista de distribución LACNOG