[lacnog] DNS: <string>.www.55sf.com

Roberto Alvarado ralvarado en gtdinternet.com
Lun Mar 31 15:05:08 BRT 2014


En realidad, esto pertenece a un ataque se está produciendo contra
servidores autoritativos, básicamente es bien simple el atacante utiliza un
openresolver para generar consultas randomicas contra un dominio por
registros inexistentes construidos como $string.dominio.tld  o
$string.www.dominio.tld , en particular se darán cuenta que todos los
dominios atacados tienen alguna relación con China, ya sean los NS o el
dueño propiamente tal del dominio.

Como podrán ver en el whois de 55sf.com, el owner dista mucho de ser
boliviano:

Registry Registrant ID: 
Registrant Name: alexchen
Registrant Organization: Jiangshu Nj
Registrant Street: nanjingxwu
Registrant City: n a s v e r g s
Registrant State/Province: s h u f a u j j p a n
Registrant Postal Code: 02100
Registrant Country: BO
Registrant Phone: +86.05922669759
Registrant Phone Ext: 
Registrant Fax: +86.05922669759
Registrant Fax Ext: 
Registrant Email: 53333sf en gmail.com

Nosotros hemos detectado este tipo de ataques desde mediados de febrero y se
mantienen hasta el día de hoy, desde clientes con servidores autoritativos
que tienen la recursión abierta a internet y además que utilizan nuestros
servidores como forwarders.

Aquí también hay una referencia del blog dnsamplificationattacks:

http://dnsamplificationattacks.blogspot.com/2014/02/authoritative-name-serve
r-attack.html

En nuestra plataforma ya se encuentran identificados 613 dominios que han
sido objetivo de este tipo de ataque , que podríamos decir es volumétrico.

Les dejo disponible la lista de dominios:

http://pastebin.com/qDq0cSam



Solución?

Revisen sus redes en busca de openresolvers, mientras estos no sean llevados
a cero mantendrán tráfico "anómalo" hacia dominios externos.


Saludos

Roberto


-----Original Message-----
From: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] On Behalf
Of Eduardo Trápani
Sent: lunes, 31 de marzo de 2014 14:36
To: Latin America and Caribbean Region Network Operators Group
Subject: Re: [lacnog] DNS: <string>.www.55sf.com

www.55sf.com se resuelve en IPv4 e IPv6 a direcciones de Google.

> $ host www.55sf.com 8.8.8.8
> Using domain server:
> Name: 8.8.8.8
> Address: 8.8.8.8#53
> Aliases: 
> 
> www.55sf.com is an alias for pagespeed.googlehosted.com.
> pagespeed.googlehosted.com has address 74.125.21.121 
> pagespeed.googlehosted.com has IPv6 address 2607:f8b0:4002:c06::79

Adentro de esa página estaban muchos de lo dominios que mencionaban.
Supongo que la habrán bajado. Lástima que no guardé una copia. Hace unos
minutos que dejó de contestar.

Eduardo.
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: lacnog-unsubscribe en lacnic.net




Más información sobre la lista de distribución LACNOG