Re: Ataques a los servidores DNS

To: debian-user-spanish@lists.debian.org
Subject: Re: Ataques a los servidores DNS
From: Ariel Alvarez <ariel@cncc.cult.cu>
Date: Tue, 04 Oct 2016 13:32:57 -0400
Message-id: <[🔎] 57F3E7C9.7050606@cncc.cult.cu>
In-reply-to: <[🔎] 20161004151805.GA26060@rh71.ibm.net>
References: <[🔎] 57F39DEB.5090000@gmail.com> <[🔎] 20161004151805.GA26060@rh71.ibm.net>

si utilizas fail2ban?


El 04-10-16 11:18, Luis Miguel R. escribió:

No ser� un ataque de amplificaci�n DNS?, en este caso, no te estar�an
atacando a ti, si no us�ndote para atacar alg�n objetivo.

El Tuesday, 04 October del 2016 a las 09:17:47AM, Mauro Antivero escribi�:

Estimados, recientemente hemos estado sufriendo ataques a nuestros
servidores DNS resolvers - no el autoritativo - (algún cliente con virus
hace consultas excesivas). El servidor es recursivo y por supuesto tiene
definidas las ACLs correspondientes para ser utilizado solo por los clientes
que corresponden, el problema como decía es que varios de estos usuarios
están infectados.

El tema es que son tantas las consultas que hacen que el servidor "se viene
abajo" (si me permiten la expresión tan poco técnica). Estoy viendo la
documentación sobre "RRL - Rate Response Limit" en Bind pero no estoy 100%
seguro si es esto lo que necesitamos. Vamos a poner un ejemplo muy vulgar si
me permiten:

- Un cliente normal hace una consulta promedio cada 1 segundo (como decía es
un ejemplo cualquiera para que se entienda)
- A partir de 10 consultas por segundo puede parecer sospechoso
- Si supera las 20 consultas por segundo me gustaría que bien no le responda
a más de 20 por segundo, haciendo efectivamente un "rate limit".

Ese sería el comportamiento deseado, pero aún no estoy seguro si RRL en Bind
sirve exactamente para esto. Según vi hasta ahora se recomienda el uso en
servidores autoritativos para frenar ataques del tipo de amplificación, el
cual no es nuestro caso, ya que se trata de un DNS resolver y el tipo de
ataque es el que se conoce como "pseudo random", en el cual se consulta por
un dominio válido pero con un subdominio inválido, como por ejemplo:

gsdrt4.aws.com
2wdfdf.aws.com
qqtedd.aws.com

Cualquier idea que me puedan dar al respecto es bienvenida, mientras tanto
sigo leyendo documentación.

Por cierto, el servidor es bastante "potente" (Dell PowerEdge E3-1270, 3.4
GHz, 4 núcleos físicos con HT y 8 GB RAM), por lo que sobredimensionarlo aún
más no creo que sea una opción válida. Está corriendo Bind
9.9.5.dfsg-9+deb8u7 sobre Debian Wheezy. Espero no olvidarme de ningún dato
relevante.

Saludos y muchas gracias,

Mauro.


-----------------------------------------------------------------
Consejo Nacional de Casas de Cultura
http://www.casasdecultura.cult.cu



-----------------------------------------------------------------
Consejo Nacional de Casas de Cultura
http://www.casasdecultura.cult.cu

Reply to:

References:
- Ataques a los servidores DNS
  - From: Mauro Antivero <mauro.antivero@gmail.com>
- Re: Ataques a los servidores DNS
  - From: "Luis Miguel R." <luismiguelro@gmail.com>

Prev by Date: Re: El tema de los arranques
Next by Date: Re: El tema de los arranques
Previous by thread: Re: Ataques a los servidores DNS
Next by thread: Re: Ataques a los servidores DNS
Index(es):
- Date
- Thread