[LACNIC/Seguridad] consultas extranas en el DNS
Victor Hugo dos Santos
listas.vhs en gmail.com
Mar Abr 26 10:23:32 BRT 2011
Estimados,
Semana pasada había encontrado algunos registros "medios" raros en uno
de mis DNS
==================
21-Apr-2011 15:20:16.081 queries: info: client 208.100.46.116#1552:
view externo: query: . ANY RESERVED0 +
21-Apr-2011 15:20:16.143 queries: info: client 208.100.46.116#6674:
view externo: query: . ANY RESERVED0 +
21-Apr-2011 15:20:16.205 queries: info: client 208.100.46.116#21602:
view externo: query: . ANY RESERVED0 +
21-Apr-2011 15:20:16.269 queries: info: client
208.100.46.116#55331:view externo: query: . ANY RESERVED0 +
==================
Como se puede observar, venia (supuestamente) de la IP 208.100.46.116
pero unos días antes, tenia el mismo tipo de consulta desde otra IP
77.204.11.139
revisando el contenido del trafico con tcpdump, me encuentro con esto
==============================
No. Time Source Destination Protocol Info
63 3.897624 208.100.46.116 10.0.0.10 DNS
Standard query Unused <Root>
Frame 63 (63 bytes on wire, 63 bytes captured)
Arrival Time: Apr 21, 2011 15:16:27.805270000
[Time delta from previous captured frame: 0.062700000 seconds]
[Time delta from previous displayed frame: 0.062700000 seconds]
[Time since reference or first frame: 3.897624000 seconds]
Frame Number: 63
Frame Length: 63 bytes
Capture Length: 63 bytes
[Frame is marked: False]
[Protocols in frame: sll:ip:udp:dns]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Linux cooked capture
Packet type: Unicast to us (0)
Link-layer address type: 1
Link-layer address length: 6
Source: HewlettP_4d:a7:2e (00:18:71:4d:a7:2e)
Protocol: IP (0x0800)
Internet Protocol, Src: 208.100.46.116 (208.100.46.116), Dst:
10.0.0.10 (10.0.0.10)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 47
Identification: 0x4081 (16513)
Flags: 0x00
0.. = Reserved bit: Not Set
.0. = Don't fragment: Not Set
..0 = More fragments: Not Set
Fragment offset: 0
Time to live: 244
Protocol: UDP (0x11)
Header checksum: 0x7d5a [correct]
[Good: True]
[Bad : False]
Source: 208.100.46.116 (208.100.46.116)
Destination: 10.0.0.10 (10.0.0.10)
User Datagram Protocol, Src Port: 34062 (34062), Dst Port: domain (53)
Source port: 34062 (34062)
Destination port: domain (53)
Length: 27
Checksum: 0x0000 (none)
Domain Name System (query)
Transaction ID: 0x800e
Flags: 0x0100 (Standard query)
0... .... .... .... = Response: Message is a query
.000 0... .... .... = Opcode: Standard query (0)
.... ..0. .... .... = Truncated: Message is not truncated
.... ...1 .... .... = Recursion desired: Do query recursively
.... .... .0.. .... = Z: reserved (0)
.... .... ...0 .... = Non-authenticated data OK:
Non-authenticated data is unacceptable
Questions: 1
Answer RRs: 0
Authority RRs: 0
Additional RRs: 0
Queries
<Root>: type Unused, class ANY
Name: <Root>
Type: Unused (unused)
Class: ANY (0x00ff)
===================
La cantidad de consultas es de aproximadamente unas 30 por segundo...
en principio pensé que podría ser un ataque de amplificación, pero al
revisar el tipo de consulta en el tcpdump "Type Unused" o al ver los
"RESERVED0" en los logs, había descartado esta posibilidad ya que
supuestamente los ataques de amplificación son por consultas al NS
raiz (cierto ??)
Alguien a visto algo parecido ??
en mi configuración, tengo habilitado vistas distintas a mis clientes
y hacia el exterior tengo restringido la recursividad.
mi versión de bind es bind-9.3.6-16.P1.el5 (actualizada)...
salu2 y atento
--
--
Victor Hugo dos Santos
Linux Counter #224399
Más información sobre la lista de distribución Seguridad