[LACNIC/Seguridad] consultas extranas en el DNS

Fernando Gont fernando en gont.com.ar
Mar Abr 26 11:56:58 BRT 2011


Hola, Victor,

On 26/04/2011 10:23 a.m., Victor Hugo dos Santos wrote:
[....]
> Non-authenticated data is unacceptable
>    Questions: 1
>    Answer RRs: 0
>    Authority RRs: 0
>    Additional RRs: 0
>    Queries
>        <Root>: type Unused, class ANY
>            Name: <Root>
>            Type: Unused (unused)
>            Class: ANY (0x00ff)
> ===================

Si tenes los *.pcap de la captura, subilo a Internet y pasanos el
enlace, asi lo puedo ver con tcpdump (el Ethereal muestra tanta info que
confunde ;-) ).



> La cantidad de consultas es de aproximadamente unas 30 por segundo...
> en principio pensé que podría ser un ataque de amplificación, pero al
> revisar el tipo de consulta en el tcpdump "Type Unused" o al ver los
> "RESERVED0" en los logs, había descartado esta posibilidad ya que
> supuestamente los ataques de amplificación son por consultas al NS
> raiz (cierto ??)

Un ataque de amplificacion basicamente le permite al atacante causar el
envio de mas de un paquete por cada paquete enviado por el atacante.

En este caso, eso no sucede. *Si* podria ser un ataque de *reflexion*,
en el cual el atacante podria estar enviando las consultas con la
direccion origen falsificada, de modo que las respuestas vayan a la
victima, dificultando la tarea de rastreo del atacante.



> en mi configuración, tengo habilitado vistas distintas a mis clientes
> y hacia el exterior tengo restringido la recursividad.
> mi versión de bind es bind-9.3.6-16.P1.el5 (actualizada)...

Chequeaste por ej. en las listas de dshield y demas a ver si alguien
está viendo algo similar?

Un abrazo,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución Seguridad