[LACNIC/Seguridad] Fwd: [Tec] Aumento de consultas MX en .CL desde inicios del 2011
Arturo Servin
aservin en lacnic.net
Mar Ene 18 12:33:48 BRST 2011
FYI
-as
Begin forwarded message:
> From: Mauricio Vergara Ereche <mave en nic.cl>
> Date: 18 January 2011 11:40:05 GMT-02:00
> To: tec en lactld.org
> Subject: [Tec] Aumento de consultas MX en .CL desde inicios del 2011
> Reply-To: mave en nic.cl
>
> Estimados,
>
> Desde hace app 2 semanas, en los NS de .CL hemos recibido una avalancha de
> consultas mucho mayor de la usual (app. 5 veces el tráfico normal).
>
> La característica de estas consultas, es que provienen de lugares distribuídos
> (no hay patrón que indiquen que vienen de una sola región), siempre
> preguntando por el registro MX, con el bit RD activado y casi todas estas
> consultas corresponden a NXDOMAIN. Todo indicaría que tiene el comportamiento
> de una botnet... Se apaga y prende el comportamiento casi automáticamente y
> puede durar hasta unas 24 horas, luego parar un par de horas y volver a re-
> activarse por un buen período más.
>
> Hace app 3 años atrás tuvimos un incidente similar, pero las ráfagas eran
> mucho menores y más alejadas. En esa ocasión se mantuvo unas 3 a 4 veces por
> mes durante unos 3 meses.
>
> Alguien más ha visto o sabido de algún comportamiento similar?
>
> Saludos cordiales,
>
> --
> Mauricio Vergara Ereche User #188365 counter.li.org
> DNS Admin NIC Chile mave [@] nic [.] cl
> Miraflores 222 piso 14, Santiago CHILE +56 2 9407710
> Codigo Postal: 832-0198 http://www.nic.cl
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110118/ee89a854/attachment.html>
Más información sobre la lista de distribución Seguridad