[lacnog] DNS RPZ

Roberto Alvarado ralvarado en gtdinternet.com
Mar Nov 18 16:23:00 BRST 2014


Les puedo comentar que nosotros ya tenemos una base de datos de 1480 dominios víctimas de ataques de recursividad, donde se les genera trafico dns solo con el objeto de generar un ddos contra sus ns autoritativos.

 

Se tienen que ir fijando en que las consultas son $string.dominio.tld o $string.subnivel.dominio.tld , básicamente es para evitar el ttl negativo y forzar a consultar insistentemente a los ns del dominio atacado.

 

 

Si alguien se suma podemos hacer algo más colaborativo y publicarlo, en algún momento en la única parte donde vi información relacionada a los dominios de destino fue en http://dnsamplificationattacks.blogspot.com/ , pero lamentablemente la información no se actualiza a menudo.

 

Saludos

Roberto

 

 

 

 

 

De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Ivan Chapero
Enviado el: martes, 18 de noviembre de 2014 13:54
Para: Latin America and Caribbean Region Network Operators Group
Asunto: Re: [lacnog] DNS RPZ

 

Ariel,

 

¿Algo como esto: https://www.malwarepatrol.net/ ?... pero sin licencia de uso digamos... tampoco encontré :(

 

Slds!

 

El 18 de noviembre de 2014, 13:00, Ariel Weher <ariel en weher.net> escribió:

Estimados:

 

Últimamente ando muy preocupado por el uso que se hace de los servidores DNS privados.

 

Más allá de los habituales ataques que se reciben, que pueden ser mitigados con recursividad por IP de origen o RRL, hay muchas consultas que se hacen hacia dominios "dudosos" como ser por ejemplo:

 

Dominio                 % total

======================= =======

mgouwlwlokfl.dns-ve.net 0.2

game776.com             0.5

www.www.game918.com     0.7

www.server.cn           0.3

www.163.com             0.4

 

Un feature interesante sería habilitar DNS RPZ en nuestros resolvers, pero no pude encontrar un feed de información open (léase grátis) para sacar la información de los dominios que se deben reescribir o filtrar.

 

Engancho este tema con la idea de Alex Ojeda en el último BOF en donde se contó que ellos mantenían una base de datos de IPs/ASN/Dominios usados para realizar ataques.

 

Si alguien quiere aportar algo al tema, bienvenido.

 

Cordiales saludos.

 

 


_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog





 

-- 

Ivan Chapero
Área Técnica y Soporte 
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero

--

GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina









------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20141118/b3e8006f/attachment.html>


Más información sobre la lista de distribución LACNOG