[LACNIC/Seguridad] Fwd: [Tec] Aumento de consultas MX en .CL desde inicios del 2011

Mar Ene 18 12:33:48 BRST 2011

	FYI

-as

Begin forwarded message:

> From: Mauricio Vergara Ereche <mave en nic.cl>
> Date: 18 January 2011 11:40:05 GMT-02:00
> To: tec en lactld.org
> Subject: [Tec] Aumento de consultas MX en .CL desde inicios del 2011
> Reply-To: mave en nic.cl
> 
> Estimados,
> 
> Desde hace app 2 semanas, en los NS de .CL hemos recibido una avalancha de 
> consultas mucho mayor de la usual (app. 5 veces el tráfico normal). 
> 
> La característica de estas consultas, es que provienen de lugares distribuídos 
> (no hay patrón que indiquen que vienen de una sola región), siempre 
> preguntando por el registro MX, con el bit RD activado y casi todas estas 
> consultas corresponden a NXDOMAIN. Todo indicaría que tiene el comportamiento 
> de una botnet... Se apaga y prende el comportamiento casi automáticamente y 
> puede durar hasta unas 24 horas, luego parar un par de horas y volver a re-
> activarse por un buen período más.
> 
> Hace app 3 años atrás tuvimos un incidente similar, pero las ráfagas eran 
> mucho menores y más alejadas. En esa ocasión se mantuvo unas 3 a 4 veces por 
> mes durante unos 3 meses.
> 
> Alguien más ha visto o sabido de algún comportamiento similar?
> 
> Saludos cordiales,
> 
> -- 
> Mauricio Vergara Ereche                 User #188365 counter.li.org
> DNS Admin NIC Chile                             mave [@] nic [.] cl
> Miraflores 222 piso 14, Santiago CHILE                +56 2 9407710
> Codigo Postal: 832-0198                           http://www.nic.cl

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110118/ee89a854/attachment.html>