[LACNIC/Seguridad] consultas extranas en el DNS

[Victor Hugo dos Santos]

2011/4/26 Fernando Gont <fernando en gont.com.ar>:
> Hola, Victor,

[...]

> Si tenes los *.pcap de la captura, subilo a Internet y pasanos el
> enlace, asi lo puedo ver con tcpdump (el Ethereal muestra tanta info que
> confunde ;-) ).


sii.. tengo una muestra de la captura acá:
http://downloads.vhsantos.net/dns.tcpdump



>> La cantidad de consultas es de aproximadamente unas 30 por segundo...
>> en principio pensé que podría ser un ataque de amplificación, pero al
>> revisar el tipo de consulta en el tcpdump "Type Unused" o al ver los
>> "RESERVED0" en los logs, había descartado esta posibilidad ya que
>> supuestamente los ataques de amplificación son por consultas al NS
>> raiz (cierto ??)
>
> Un ataque de amplificacion basicamente le permite al atacante causar el
> envio de mas de un paquete por cada paquete enviado por el atacante.
>
> En este caso, eso no sucede. *Si* podria ser un ataque de *reflexion*,
> en el cual el atacante podria estar enviando las consultas con la
> direccion origen falsificada, de modo que las respuestas vayan a la
> victima, dificultando la tarea de rastreo del atacante.


mmm.. el raro es que una de las direcciones es de un sitio
ohinternet.com (en estados unidos), pero la otra dirección
"aparentemente" es de una IP casera (en francia) !!!

no tendría mucha lógica hacer un DoS a un enlace adsl !!! ;-)
a no ser que sea algún virus/troyano mal programado !! :-(


>> en mi configuración, tengo habilitado vistas distintas a mis clientes
>> y hacia el exterior tengo restringido la recursividad.
>> mi versión de bind es bind-9.3.6-16.P1.el5 (actualizada)...
>
> Chequeaste por ej. en las listas de dshield y demas a ver si alguien
> está viendo algo similar?

si... revise por allá, pero ninguna referencia en los últimos meses...

salu2

-- 
--
Victor Hugo dos Santos
Linux Counter #224399