<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EstiloCorreo17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ES-CL link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Les puedo comentar que nosotros ya tenemos una base de datos de 1480 dominios víctimas de ataques de recursividad, donde se les genera trafico dns solo con el objeto de generar un ddos contra sus ns autoritativos.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Se tienen que ir fijando en que las consultas son $string.dominio.tld o $string.subnivel.dominio.tld , básicamente es para evitar el ttl negativo y forzar a consultar insistentemente a los ns del dominio atacado.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Si alguien se suma podemos hacer algo más colaborativo y publicarlo, en algún momento en la única parte donde vi información relacionada a los dominios de destino fue en <a href="http://dnsamplificationattacks.blogspot.com/">http://dnsamplificationattacks.blogspot.com/</a> , pero lamentablemente la información no se actualiza a menudo.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Saludos<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Roberto<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=ES style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>De:</span></b><span lang=ES style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> LACNOG [mailto:lacnog-bounces@lacnic.net] <b>En nombre de </b>Ivan Chapero<br><b>Enviado el:</b> martes, 18 de noviembre de 2014 13:54<br><b>Para:</b> Latin America and Caribbean Region Network Operators Group<br><b>Asunto:</b> Re: [lacnog] DNS RPZ<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal><span style='font-family:"Tahoma","sans-serif";color:black'>Ariel,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Tahoma","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Tahoma","sans-serif";color:black'>¿Algo como esto: <a href="https://www.malwarepatrol.net/">https://www.malwarepatrol.net/</a> ?... pero sin licencia de uso digamos... tampoco encontré :(<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Tahoma","sans-serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Tahoma","sans-serif";color:black'>Slds!<o:p></o:p></span></p></div></div><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>El 18 de noviembre de 2014, 13:00, Ariel Weher <<a href="mailto:ariel@weher.net" target="_blank">ariel@weher.net</a>> escribió:<o:p></o:p></p><div><p class=MsoNormal><span style='font-family:"Courier New"'>Estimados:</span><o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Últimamente ando muy preocupado por el uso que se hace de los servidores DNS privados.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Más allá de los habituales ataques que se reciben, que pueden ser mitigados con recursividad por IP de origen o RRL, hay muchas consultas que se hacen hacia dominios "dudosos" como ser por ejemplo:</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Dominio                 % total</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>======================= =======</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><a href="http://mgouwlwlokfl.dns-ve.net" target="_blank">mgouwlwlokfl.dns-ve.net</a> 0.2</span><o:p></o:p></p></div></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><a href="http://game776.com" target="_blank">game776.com</a>             0.5</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><a href="http://www.www.game918.com" target="_blank">www.www.game918.com</a>     0.7</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><a href="http://www.server.cn" target="_blank">www.server.cn</a>           0.3</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><a href="http://www.163.com" target="_blank">www.163.com</a>             0.4</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Un feature interesante sería habilitar DNS RPZ en nuestros resolvers, pero no pude encontrar un feed de información open (léase grátis) para sacar la información de los dominios que se deben reescribir o filtrar.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Engancho este tema con la idea de Alex Ojeda en el último BOF en donde se contó que ellos mantenían una base de datos de IPs/ASN/Dominios usados para realizar ataques.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Si alguien quiere aportar algo al tema, bienvenido.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Cordiales saludos.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><br>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></div><p class=MsoNormal><br><br clear=all><o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>-- <o:p></o:p></p><div><div><p class=MsoNormal><b>Ivan Chapero<br><span style='color:#666666'>Área Técnica y Soporte</span></b><span style='color:#666666'> <br>Fijo: 03464-470280 (interno 535)</span> | <span style='color:#666666'>Móvil:  03464-155-20282</span>  | <span style='color:#666666'>Skype ID: ivanchapero</span><o:p></o:p></p><div><p class=MsoNormal><span style='color:#666666'>--</span><o:p></o:p></p><p class=MsoNormal align=center style='text-align:center'><span style='color:#666666'>GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina</span><o:p></o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'><br><br><br><br><br><br><o:p></o:p></p></div></div></div></div></div></body></html>