<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><span class="Apple-tab-span" style="white-space:pre">        </span>FYI</div><div><br></div><div>-as</div><div><br><div>Begin forwarded message:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>From: </b></span><span style="font-family:'Helvetica'; font-size:medium;">Mauricio Vergara Ereche <<a href="mailto:mave@nic.cl">mave@nic.cl</a>><br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Date: </b></span><span style="font-family:'Helvetica'; font-size:medium;">18 January 2011 11:40:05 GMT-02:00<br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>To: </b></span><span style="font-family:'Helvetica'; font-size:medium;"><a href="mailto:tec@lactld.org">tec@lactld.org</a><br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Subject: </b></span><span style="font-family:'Helvetica'; font-size:medium;"><b>[Tec] Aumento de consultas MX en .CL desde inicios del 2011</b><br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Reply-To: </b></span><span style="font-family:'Helvetica'; font-size:medium;"><a href="mailto:mave@nic.cl">mave@nic.cl</a><br></span></div><br><div>Estimados,<br><br>Desde hace app 2 semanas, en los NS de .CL hemos recibido una avalancha de <br>consultas mucho mayor de la usual (app. 5 veces el tráfico normal). <br><br>La característica de estas consultas, es que provienen de lugares distribuídos <br>(no hay patrón que indiquen que vienen de una sola región), siempre <br>preguntando por el registro MX, con el bit RD activado y casi todas estas <br>consultas corresponden a NXDOMAIN. Todo indicaría que tiene el comportamiento <br>de una botnet... Se apaga y prende el comportamiento casi automáticamente y <br>puede durar hasta unas 24 horas, luego parar un par de horas y volver a re-<br>activarse por un buen período más.<br><br>Hace app 3 años atrás tuvimos un incidente similar, pero las ráfagas eran <br>mucho menores y más alejadas. En esa ocasión se mantuvo unas 3 a 4 veces por <br>mes durante unos 3 meses.<br><br>Alguien más ha visto o sabido de algún comportamiento similar?<br><br>Saludos cordiales,<br><br>-- <br>Mauricio Vergara Ereche                 User #188365 <a href="http://counter.li.org">counter.li.org</a><br>DNS Admin NIC Chile                             mave [@] nic [.] cl<br>Miraflores 222 piso 14, Santiago CHILE                +56 2 9407710<br>Codigo Postal: 832-0198                           <a href="http://www.nic.cl">http://www.nic.cl</a><br></div></blockquote></div><br></body></html>