[LACNIC/Seguridad] Fwd: [Tec] Aumento de consultas MX en .CL desde inicios del 2011

Fernando Gont fernando en gont.com.ar
Mie Ene 19 22:27:33 BRST 2011 

FYI (inclui a lacnog en el CC)

On 18/01/2011 11:33 a.m., Arturo Servin wrote:
> 
> FYI
> 
> -as
> 
> Begin forwarded message:
> 
>> *From: *Mauricio Vergara Ereche <mave en nic.cl <mailto:mave en nic.cl>>
>> *Date: *18 January 2011 11:40:05 GMT-02:00
>> *To: *tec en lactld.org <mailto:tec en lactld.org>
>> *Subject: **[Tec] Aumento de consultas MX en .CL desde inicios del 2011*
>> *Reply-To: *mave en nic.cl <mailto:mave en nic.cl>
>>
>> Estimados,
>>
>> Desde hace app 2 semanas, en los NS de .CL hemos recibido una
>> avalancha de
>> consultas mucho mayor de la usual (app. 5 veces el tráfico normal).
>>
>> La característica de estas consultas, es que provienen de lugares
>> distribuídos
>> (no hay patrón que indiquen que vienen de una sola región), siempre
>> preguntando por el registro MX, con el bit RD activado y casi todas estas
>> consultas corresponden a NXDOMAIN. Todo indicaría que tiene el
>> comportamiento
>> de una botnet... Se apaga y prende el comportamiento casi
>> automáticamente y
>> puede durar hasta unas 24 horas, luego parar un par de horas y volver
>> a re-
>> activarse por un buen período más.
>>
>> Hace app 3 años atrás tuvimos un incidente similar, pero las ráfagas eran
>> mucho menores y más alejadas. En esa ocasión se mantuvo unas 3 a 4
>> veces por
>> mes durante unos 3 meses.
>>
>> Alguien más ha visto o sabido de algún comportamiento similar?
>>
>> Saludos cordiales,
>>
>> -- 
>> Mauricio Vergara Ereche                 User #188365 counter.li.org
>> <http://counter.li.org>
>> DNS Admin NIC Chile                             mave [@] nic [.] cl
>> Miraflores 222 piso 14, Santiago CHILE                +56 2 9407710
>> Codigo Postal: 832-0198                           http://www.nic.cl
> 
> 
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución Seguridad