[lacnog] DDoS, ataques de amplificacion y BCP38

Luar Roji nic en roji.net
Lun Abr 1 13:57:42 BRT 2013


Concuerdo con Carlos.. no me parece que DNS sea algo que se le pueda ocurrir
instalar a algun atacante.

Claro, a no ser que lo usen como interfaz de comandos encubierta (que bajo
ciertos queries DNS realicen ciertas acciones), y si no, es un openresolver..

Para mi que es mas por ignorancia que otra cosa, conozco mucha gente que
'instala equipos' y 'arregla computadoras' que no tiene muchos conocimientos,
quizas los minimos como para poder configurar un router y configurarle el
ADSL.. si el router viene con un proxy dns abierto, ese queda abierto al
mundo forever and ever!

On Mon, Apr 01, 2013 at 01:47:31PM -0300, Carlos M. Martinez wrote:
> De acuerdo que deben haber otros factores, pero sobre el tema de equipos
> comprometidos, ¿porque instalar un DNS si he comprometido un equipo
> cuando puedo instalar algo mucho mas sofisticado?
> 
> On 4/1/13 1:42 PM, Eduardo Trápani wrote:
> >> El tema de los open resolvers es increible... como algo tan facil de
> >> corregir es completamente ignorado por la gente.
> >>
> >> ¿Que nos pasa?
> > [...]
> >
> >> Los open resolvers que son problematicos, en su gran mayoria, estan ahi
> >> simplemente por desidia / negligencia.
> > Todo eso me parece un poco simplista.  Hay varios "culpables" y vaya uno
> > a saber cuál es la mayoría.  Por ejemplo:
> >
> > Sólo por probar, puse en openresolverproject.org la red /24 que
> > corresponde a la dirección del ADSL de casa en este momento
> > 186.52.57.0/24 (en unas horas será otra).  Mi proveedor separa los
> > rangos hogareños de los empresariales.
> >
> > Viendo el resultado (33 en un /24) me inclino a pensar que los resolvers
> > abiertos tienen más mucho que ver con equipos comprometidos que con
> > servidores reales mal configurados. No encuentro otra manera de entender
> > que en el rango de ADSL haya tantos, salvo que algún sistema operativo
> > esté instalando por defecto un cache resolver o algo así que escuche en
> > la dirección externa.
> >
> > Pero hay más.  Por ejemplo,  dnsmasq[1] escucha(ba) por defecto en todos
> > las interfaces, lo que te deja con un open resolver en los protocolos en
> > los que estés (en mi caso me pasaba en ipv6 también).  Acá está la
> > entrada de CVE[2].  RedHat recién lo arregló en febrero, pero no todas
> > las distribuciones lo solucionaron.
> >
> > A lo que voy es que hay un escenario más complejo que la simple
> > desidia/ignorancia por parte de administradores de DNS.  Si entendemos
> > el problema con todos sus actores, va a ser más fácil arreglarlo.
> >
> > Eduardo.
> >
> > [1] http://packages.debian.org/squeeze/dnsmasq
> > [2] https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-3411
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net



Más información sobre la lista de distribución LACNOG