Re: [OT] Ataques a los servidores DNS

To: "debian-user-spanish@lists.debian.org" <debian-user-spanish@lists.debian.org>
Subject: Re: [OT] Ataques a los servidores DNS
From: AngelD <angeld@froga.net>
Date: Tue, 4 Oct 2016 19:43:01 +0200
Message-id: <[🔎] 6fc595f2-d7bb-6ab5-ef9e-1ad3a2eb4977@froga.net>
In-reply-to: <[🔎] 57F39DEB.5090000@gmail.com>
References: <[🔎] 57F39DEB.5090000@gmail.com>

On 10/04/2016 02:17 PM, Mauro Antivero wrote:
> Estimados, recientemente hemos estado sufriendo ataques a nuestros
> servidores DNS resolvers - no el autoritativo - (algún cliente con virus
> hace consultas excesivas). El servidor es recursivo y por supuesto tiene
> definidas las ACLs correspondientes para ser utilizado solo por los
> clientes que corresponden, el problema como decía es que varios de estos
> usuarios están infectados.

	Creo que lo primero sería desinfectar dichos clientes.

> El tema es que son tantas las consultas que hacen que el servidor "se
> viene abajo" (si me permiten la expresión tan poco técnica). Estoy
> viendo la documentación sobre "RRL - Rate Response Limit" en Bind pero
> no estoy 100% seguro si es esto lo que necesitamos. Vamos a poner un
> ejemplo muy vulgar si me permiten:
> 
> - Un cliente normal hace una consulta promedio cada 1 segundo (como
> decía es un ejemplo cualquiera para que se entienda)
> - A partir de 10 consultas por segundo puede parecer sospechoso
> - Si supera las 20 consultas por segundo me gustaría que bien no le
> responda a más de 20 por segundo, haciendo efectivamente un "rate limit".
> 
> Ese sería el comportamiento deseado, pero aún no estoy seguro si RRL en
> Bind sirve exactamente para esto. Según vi hasta ahora se recomienda el
> uso en servidores autoritativos para frenar ataques del tipo de
> amplificación, el cual no es nuestro caso, ya que se trata de un DNS
> resolver y el tipo de ataque es el que se conoce como "pseudo random",
> en el cual se consulta por un dominio válido pero con un subdominio
> inválido, como por ejemplo:
> 
> gsdrt4.aws.com
> 2wdfdf.aws.com
> qqtedd.aws.com

	Personalmente pondría los clientes infectados en una lista negra, y les
denegaría el acceso al DNS, pero pruébalo, peor no te va a ir. Veo que
también implementan lo mismo con "iptables":

http://serverfault.com/questions/490245/bind-dns-rate-limit-and-values-for-responses-per-second-and-window#585416


> Cualquier idea que me puedan dar al respecto es bienvenida, mientras
> tanto sigo leyendo documentación.
> 
> Por cierto, el servidor es bastante "potente" (Dell PowerEdge E3-1270,
> 3.4 GHz, 4 núcleos físicos con HT y 8 GB RAM), por lo que
> sobredimensionarlo aún más no creo que sea una opción válida. Está
> corriendo Bind 9.9.5.dfsg-9+deb8u7 sobre Debian Wheezy. Espero no
> olvidarme de ningún dato relevante.

	¿Cuantos clientes infectados tienes para que te te tumben el cacharro?
. Porque, o tienes muchos, o algún detalle de la configuración puede que
no esté fino.

	¿Cómo se viene abajo el servidor?, ¿por saturación de la red?, ¿por
memoria?, ¿que dicen las estadísticas del mismo?, ¿está la distribución
actualizada?, ¿tienes paquetes de Jessie instalados en Wheezy?, ...


-- 
    Saludos --- Angel

Reply to:

References:
- Ataques a los servidores DNS
  - From: Mauro Antivero <mauro.antivero@gmail.com>

Prev by Date: Controladro PPD Xerox WorkCentre 3615
Next by Date: El tema de los arranques
Previous by thread: Re: Ataques a los servidores DNS
Next by thread: RESUELTO: No me reconoce contraseña deposito de claves debian jessie.
Index(es):
- Date
- Thread