[lacnog] DNS RPZ

Ivan Chapero info en ivanchapero.com.ar
Mar Nov 18 18:41:49 BRST 2014


Roberto,
sumado al patrón que indicas lo que estuve observando es mucha rotación de
dominios numéricos, pero mayormente sobre .com. (sin caer en subniveles).

Lo que me resulta muy notorio es como el % de este tipo de consultas basura
fue creciendo desde la red de abonados, por lo menos aquí a principios de
2014. Adjunto una gráfica del recursor de un pequeño ISP donde se aprecia
que mas del 20% de respuestas son del tipo SERVFAIL o NXDOMAIN.

Me pongo a pensar, las implicaciones que puede llegar a tener a nivel
recursos en un pequeño routersito hogareño que corre de fondo dnsmasq o
similar para cachear consultas. Algún tipo de degradación debe presenciarse
en el equipo esta rotación tan persistente.

Slds!


El 18 de noviembre de 2014, 15:23, Roberto Alvarado <
ralvarado en gtdinternet.com> escribió:

> Les puedo comentar que nosotros ya tenemos una base de datos de 1480
> dominios víctimas de ataques de recursividad, donde se les genera trafico
> dns solo con el objeto de generar un ddos contra sus ns autoritativos.
>
>
>
> Se tienen que ir fijando en que las consultas son $string.dominio.tld o
> $string.subnivel.dominio.tld , básicamente es para evitar el ttl negativo y
> forzar a consultar insistentemente a los ns del dominio atacado.
>
>
>
>
>
> Si alguien se suma podemos hacer algo más colaborativo y publicarlo, en
> algún momento en la única parte donde vi información relacionada a los
> dominios de destino fue en http://dnsamplificationattacks.blogspot.com/ ,
> pero lamentablemente la información no se actualiza a menudo.
>
>
>
> Saludos
>
> Roberto
>
>
>
>
>
>
>
>
>
>
>
> *De:* LACNOG [mailto:lacnog-bounces en lacnic.net] *En nombre de *Ivan
> Chapero
> *Enviado el:* martes, 18 de noviembre de 2014 13:54
> *Para:* Latin America and Caribbean Region Network Operators Group
> *Asunto:* Re: [lacnog] DNS RPZ
>
>
>
> Ariel,
>
>
>
> ¿Algo como esto: https://www.malwarepatrol.net/ ?... pero sin licencia de
> uso digamos... tampoco encontré :(
>
>
>
> Slds!
>
>
>
> El 18 de noviembre de 2014, 13:00, Ariel Weher <ariel en weher.net> escribió:
>
> Estimados:
>
>
>
> Últimamente ando muy preocupado por el uso que se hace de los servidores
> DNS privados.
>
>
>
> Más allá de los habituales ataques que se reciben, que pueden ser
> mitigados con recursividad por IP de origen o RRL, hay muchas consultas que
> se hacen hacia dominios "dudosos" como ser por ejemplo:
>
>
>
> Dominio                 % total
>
> ======================= =======
>
> mgouwlwlokfl.dns-ve.net 0.2
>
> game776.com             0.5
>
> www.www.game918.com     0.7
>
> www.server.cn           0.3
>
> www.163.com             0.4
>
>
>
> Un feature interesante sería habilitar DNS RPZ en nuestros resolvers, pero
> no pude encontrar un feed de información open (léase grátis) para sacar la
> información de los dominios que se deben reescribir o filtrar.
>
>
>
> Engancho este tema con la idea de Alex Ojeda en el último BOF en donde se
> contó que ellos mantenían una base de datos de IPs/ASN/Dominios usados para
> realizar ataques.
>
>
>
> Si alguien quiere aportar algo al tema, bienvenido.
>
>
>
> Cordiales saludos.
>
>
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
>
>
>
> --
>
>
> *Ivan ChaperoÁrea Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
> ivanchapero
>
> --
>
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
> - Santa Fe - Argentina
>
>
>
>
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>


-- 

*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20141118/b5a60414/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: recursor1.png
Type: image/png
Size: 61328 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20141118/b5a60414/attachment.png>


Más información sobre la lista de distribución LACNOG