[lacnog] DDoS, ataques de amplificacion y BCP38
Carlos M. Martinez
carlosm3011 en gmail.com
Lun Abr 1 14:00:45 BRT 2013
Eduardo,
Como obtuviste ese numero para ese rango? Measurement Factory encuentra
solo 63 para _todo_ el 6057...
http://dns.measurement-factory.com/surveys/openresolvers/ASN-reports/latest.html
s2
~Carlos
On 4/1/13 1:42 PM, Eduardo Trápani wrote:
>> El tema de los open resolvers es increible... como algo tan facil de
>> corregir es completamente ignorado por la gente.
>>
>> ¿Que nos pasa?
>
> [...]
>
>> Los open resolvers que son problematicos, en su gran mayoria, estan ahi
>> simplemente por desidia / negligencia.
>
> Todo eso me parece un poco simplista. Hay varios "culpables" y vaya uno
> a saber cuál es la mayoría. Por ejemplo:
>
> Sólo por probar, puse en openresolverproject.org la red /24 que
> corresponde a la dirección del ADSL de casa en este momento
> 186.52.57.0/24 (en unas horas será otra). Mi proveedor separa los
> rangos hogareños de los empresariales.
>
> Viendo el resultado (33 en un /24) me inclino a pensar que los resolvers
> abiertos tienen más mucho que ver con equipos comprometidos que con
> servidores reales mal configurados. No encuentro otra manera de entender
> que en el rango de ADSL haya tantos, salvo que algún sistema operativo
> esté instalando por defecto un cache resolver o algo así que escuche en
> la dirección externa.
>
> Pero hay más. Por ejemplo, dnsmasq[1] escucha(ba) por defecto en todos
> las interfaces, lo que te deja con un open resolver en los protocolos en
> los que estés (en mi caso me pasaba en ipv6 también). Acá está la
> entrada de CVE[2]. RedHat recién lo arregló en febrero, pero no todas
> las distribuciones lo solucionaron.
>
> A lo que voy es que hay un escenario más complejo que la simple
> desidia/ignorancia por parte de administradores de DNS. Si entendemos
> el problema con todos sus actores, va a ser más fácil arreglarlo.
>
> Eduardo.
>
> [1] http://packages.debian.org/squeeze/dnsmasq
> [2] https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-3411
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
Más información sobre la lista de distribución LACNOG