[lacnog] DNS RPZ

Roberto Alvarado ralvarado en gtdinternet.com
Mar Nov 18 19:08:20 BRST 2014


La situación nosotros la hemos identificado bajo los siguientes casos:

 

-          Modems/CPEs xDSL : equipos que vienen con firmwares donde presenta un dns-proxy (orientado a la lan) a través de su interfaz wan, por ende el atacante dirige las consultas a la ip wan del cpe y este las redirecciona a los servidores recursivos del proveedor.

-          Servidores DNS de clientes: Clientes que presentan un servidor DNS a internet, donde no tienen limitada la recursividad a un segmento de red en específico (open resolver) por lo cual el atacante externo dirige las consultas a la ip del servidor del cliente y este hace forwarding de las consultas a los servidores recursivos del proveedor.

-          DVR: Hemos detectado una cantidad considerable de equipos DVR que clientes dejan expuestos a internet (sin filtro alguno de acceso a ninguno de sus puertos) donde un atacante externo ha tomado control del equipo y lo utiliza para generar trafico dns a una zona externa utilizando los servidores recursivos del proveedor.

 

Pensando en el impacto al cliente que se hace parte del ataque, nosotros hemos equipos trabajando de manera errática por alto consumo de recursos y saturación del enlace del cliente .

 

Saludos

Roberto

 

 

De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Ivan Chapero
Enviado el: martes, 18 de noviembre de 2014 17:42
Para: Latin America and Caribbean Region Network Operators Group
Asunto: Re: [lacnog] DNS RPZ

 

Roberto,

sumado al patrón que indicas lo que estuve observando es mucha rotación de dominios numéricos, pero mayormente sobre .com. (sin caer en subniveles).

Lo que me resulta muy notorio es como el % de este tipo de consultas basura fue creciendo desde la red de abonados, por lo menos aquí a principios de 2014. Adjunto una gráfica del recursor de un pequeño ISP donde se aprecia que mas del 20% de respuestas son del tipo SERVFAIL o NXDOMAIN.

Me pongo a pensar, las implicaciones que puede llegar a tener a nivel recursos en un pequeño routersito hogareño que corre de fondo dnsmasq o similar para cachear consultas. Algún tipo de degradación debe presenciarse en el equipo esta rotación tan persistente.

Slds!

 

 

El 18 de noviembre de 2014, 15:23, Roberto Alvarado <ralvarado en gtdinternet.com> escribió:

Les puedo comentar que nosotros ya tenemos una base de datos de 1480 dominios víctimas de ataques de recursividad, donde se les genera trafico dns solo con el objeto de generar un ddos contra sus ns autoritativos.

 

Se tienen que ir fijando en que las consultas son $string.dominio.tld o $string.subnivel.dominio.tld , básicamente es para evitar el ttl negativo y forzar a consultar insistentemente a los ns del dominio atacado.

 

 

Si alguien se suma podemos hacer algo más colaborativo y publicarlo, en algún momento en la única parte donde vi información relacionada a los dominios de destino fue en http://dnsamplificationattacks.blogspot.com/ , pero lamentablemente la información no se actualiza a menudo.

 

Saludos

Roberto

 

 

 

 

 

De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Ivan Chapero
Enviado el: martes, 18 de noviembre de 2014 13:54
Para: Latin America and Caribbean Region Network Operators Group
Asunto: Re: [lacnog] DNS RPZ

 

Ariel,

 

¿Algo como esto: https://www.malwarepatrol.net/ ?... pero sin licencia de uso digamos... tampoco encontré :(

 

Slds!

 

El 18 de noviembre de 2014, 13:00, Ariel Weher <ariel en weher.net> escribió:

Estimados:

 

Últimamente ando muy preocupado por el uso que se hace de los servidores DNS privados.

 

Más allá de los habituales ataques que se reciben, que pueden ser mitigados con recursividad por IP de origen o RRL, hay muchas consultas que se hacen hacia dominios "dudosos" como ser por ejemplo:

 

Dominio                 % total

======================= =======

mgouwlwlokfl.dns-ve.net 0.2

game776.com             0.5

www.www.game918.com     0.7

www.server.cn           0.3

www.163.com             0.4

 

Un feature interesante sería habilitar DNS RPZ en nuestros resolvers, pero no pude encontrar un feed de información open (léase grátis) para sacar la información de los dominios que se deben reescribir o filtrar.

 

Engancho este tema con la idea de Alex Ojeda en el último BOF en donde se contó que ellos mantenían una base de datos de IPs/ASN/Dominios usados para realizar ataques.

 

Si alguien quiere aportar algo al tema, bienvenido.

 

Cordiales saludos.

 

 


_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog





 

-- 

Ivan Chapero
Área Técnica y Soporte 
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero

--

GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina









_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog




-- 

Ivan Chapero
Área Técnica y Soporte 
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero

--

GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina









------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20141118/91f95c9f/attachment.html>


Más información sobre la lista de distribución LACNOG