Bienvenido(a) a Alcance Libre 30/01/2023, 12:26

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Redes y Servidores New Topic Post Reply
 ataque a mis servidores dns
Tópico anterior Tópico siguiente
   
manowar
 02/20/14 03:15PM (Leído 3,563 veces)  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/26/07
Mensajes: 280
Localización:Santiago - Chile
Estoy con un gran dilema y es que desde hace mas de una semana comenzó un ataque hacia mi plataforma anycast de resolvedores de nombres. Estoy en un ISP así que esto es grande.
El ataque es mas o menos así (extracto de named-queries.log

PHP Formatted Code
20-Feb-2014 15:18:04.105 queries: info: client 200.119.235.176#32768: view anycast: query: nopqestuvwxlz.gege                 qu.com IN A +
20-Feb-2014 15:18:04.125 queries: info: client 190.215.171.177#14028: view anycast: query: evaxkvajkfkf.gegeq                 u.com IN A +
20-Feb-2014 15:18:04.186 queries: info: client 200.124.46.180#8687: view anycast: query: rqunqts.gegequ.com I                 N A +
20-Feb-2014 15:18:04.201 queries: info: client 190.215.172.180#1025: view anycast: query: ofwrqtivojah.gegequ                 .com IN A +
20-Feb-2014 15:18:04.243 queries: info: client 190.8.93.182#1025: view anycast: query: abpqrsthvwxlm.gegequ.c                 om IN A +
20-Feb-2014 15:18:04.254 queries: info: client 190.8.93.182#1025: view anycast: query: qthzqbtxi.gegequ.com I                 N A +
20-Feb-2014 15:18:04.337 queries: info: client 190.96.56.186#8139: view anycast: query: ylogoaqir.gegequ.com                  IN A +
20-Feb-2014 15:18:04.341 queries: info: client 200.75.26.175#30013: view anycast: query: wtmlarslsduh.gegequ.                 com IN A +
20-Feb-2014 15:18:04.342 queries: info: client 190.96.56.186#9915: view anycast: query: aopqrsguvjklm.gegequ.                 com IN A +
20-Feb-2014 15:18:04.371 queries: info: client 190.98.213.181#59600: view anycast: query: nbpqrftuiwxyz.gegeq                 u.com IN A +E
20-Feb-2014 15:18:04.430 queries: info: client 190.196.25.190#12235: view anycast: query: ngcflyq.gegequ.com                  IN A +
20-Feb-2014 15:18:04.434 queries: info: client 190.196.25.190#9892: view anycast: query: mnyltwsoyat.gegequ.c                 om IN A +
20-Feb-2014 15:18:04.473 queries: info: client 201.238.218.191#1025: view anycast: query: bebys.gegequ.com IN                  A +
20-Feb-2014 15:18:04.482 queries: info: client 201.238.218.191#1025: view anycast: query: wwemsaaxt.gegequ.co                 m IN A +
20-Feb-2014 15:18:04.484 queries: info: client 201.238.218.191#1025: view anycast: query: ziiap.gegequ.com IN                  A +
20-Feb-2014 15:18:04.568 queries: info: client 190.215.161.195#1025: view anycast: query: lhwgbxt.gegequ.com                  IN A +


Como pueden preciar hay un sin fin de consultas hacia diversos subdominios del dominio gegequ.com, Así pueden hacerse consultas hacia muchos distintos dominios con el mismo síntoma. Esto me ha llevado a problemas de Denegación de Servicios. De momento he instalado dnstop que me ayuda a identificar el o los dominios usados para atacar. Dentro de named.conf tengo una lista de dominios bloqueados y lo que hago es hacer que responda localmente a estos bloqueos con IP e loopback, esto configurado en un archivo de zona predeterminado.
Si bien esto evitar caer en DOS, es solo una solución parche, estoy en busca de una solución definitiva donde pensar en evitar la recursividad no es una opción dado que como ISP tenemos millones de clientes que atender y así no funciona esto. La recursividad esta acotada a los rangos de IP confiables que entregan nuestros servidores dhcp o los rangos de IP estáticas que se venden.
Cuando detectamos alguna IP estática atacando también la bloqueamos excepto en el caso de las adsl, pues son dinámicas y no tiene ningún sentido.
Algún sabio binario que me oriente o me entregue un pase de sabiduría para acabar con esta pesadilla que de momento me tiene durmiendo en tramos no superiores a 1 hora.

Como ven estoy bailando con la fea y casi sin dormir.
He pensado en alguna herramienta del tipo despoof, pero la verdad es que siento que esa decisión es un simple palo de ciego.

Un abrazo y si alguien puede ayudarme con esto, se ganara gobernar la matrix por la eternidad.

Un abrazo desde Chile y me alegra que este sitio le sea de tanta utilidad a muchos.

Éxitos Joel y equipo AL.
 
Profile Email Website
 Quote
xjuanjp
 02/20/14 06:49PM  

Nuevo

Estado: desconectado
Forum User

Identificado: 10/04/11
Mensajes: 5
Buenas Tardes.... te recomiendo usar fail2Ban


https://www.debian-administration.org/article/Blocking_a_DNS_DDOS_using_the_fail2ban_package
 
Profile Email
 Quote
Nik0
 02/23/14 01:12AM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 08/20/13
Mensajes: 60
Hola compatriota!!!. Eso tiene mucha cara de ser un zoombie ejecutando algo para sobre-saturar(si existe esa palabra) tu server. Creo que Fail2ban no es una mala alternativa pero el dilema será cuantas consultas vas a permitir a cada cliente, si los logs son extensos la carga sobre fail2ban se volverá eterna. Quizás sería prudente ocupar el archivo /etc/hosts.deny pero tendrías que estar revisando cada ciertos minutos los logs y agregando las ips. Aun que también podrías crear algún script en bash o python que lea y obtenga una cantidad de "x" coincidencias de ips y consultas y escribirlas en ese archivo (/etc/hosts.deny), aun que sigo creyendo que sería muy complejo pero efectivo.

Por otra parte, no sé como este conformada tu red, pero si yo fuera tu no dejaría mi servidor DNS directamente conectado a internet y menos y lo usas como cache de ISP. Deberías pensar en la posibilidad de instalar algún firewall con monitoreo de red y hasta un balanceo de carga para dividir las consultas DNS entre 1 o mas servers. Si usas una distro como centos para firewall instala SNOR para revisar y monitorear que diablos pasa realmente realizar bloqueos necesarios dentro del firewall y no de la maquina DNS.
 
Profile Email
 Quote
manowar
 02/24/14 02:24PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/26/07
Mensajes: 280
Localización:Santiago - Chile
Lamentablemente als alternativas aportadas no son utiles para mi caso, pero se agradecen sus respuestas. en un ISP no podemos manejar canones como lo podemos hacer desde una segmento publico asignado a una empresa. Mis resolvedorrs necesitan recursividad y no hay otra via.
Les cuento que hemos decantando el asunto por el lado de los lospuertos abiertos a nuestros clientes dhcp y ftth. Por ahi hemos encontrado unas vulnerabilidades. En cuanto saquemos este tema al aire les comentare la solucion porque parace que el problema lo esta generando la generosidad de apertura de puerto de los router que se dejan en las casas, los que escuchan por el `puerto 53 y por ende donde cualquier botnet puede hacer uso de el instalandose y haciendo las consultas hechas a ellos recursivas a nuestra plataforma. Empiricamente probado, pero vamos a probar si la inyeccion creada es la solucion
 
Profile Email Website
 Quote
manowar
 03/05/14 02:06PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/26/07
Mensajes: 280
Localización:Santiago - Chile
Aqui les dejo un link donde se explia muy bien lo que nos afecta:

http://dnsamplificationattacks.blogspot.com/2014/02/authoritative-name-server-attack.html
 
Profile Email Website
 Quote
Contenido generado en: 0.24 segundos New Topic Post Reply
 Todas las horas son CST. Hora actual 12:26 PM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado