[FUG-BR] Ataque DNS
Ricardo
ricardobvolpato em yahoo.com.br
Quinta Outubro 4 08:25:44 BRT 2012
Pessoal, boa tarde.
Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois
servidores DNS dentro da nossa rede.
Vejam uma parte do tcpdump:
11:39:19.240474 IP 189.89.102.100.54036 > xxx.xxx.xx.151.53: 58536+ [1au]
ANY ANY? re. (31)
11:39:19.240483 IP 189.89.102.100.37878 > xxx.xxx.xx.150.53: 5989+ [1au] ANY
ANY? re. (31)
11:39:19.240489 IP 189.89.102.100.45591 > xxx.xxx.xx.193.53: 27930+ [1au]
ANY ANY? re. (31)
11:39:19.246150 IP 189.89.102.100.43027 > xxx.xxx.xx.65.53: 40268+ [1au] ANY
ANY? re. (31)
11:39:19.246165 IP 189.89.102.100.50745 > xxx.xxx.xx.153.53: 629+ [1au] ANY
ANY? re. (31)
11:39:19.247924 IP 189.89.102.100.48725 > xxx.xxx.xx.150.53: 22654+ [1au]
ANY ANY? re. (31)
11:39:19.248160 IP 189.89.102.100.54661 > xxx.xxx.xx.151.53: 58655+ [1au]
ANY ANY? re. (31)
11:39:19.248347 IP 189.89.102.100.60093 > xxx.xxx.xx.193.53: 60843+ [1au]
ANY ANY? re. (31)
11:39:19.253574 IP 189.89.102.100.44973 > yyy.yy.yyy.1.53: 54651+ [1au] ANY
ANY? re. (31)
11:39:19.254280 IP 189.89.102.100.26620 > xxx.xxx.xx.153.53: 55883+ [1au]
ANY ANY? re. (31)
11:39:19.254516 IP 189.89.102.100.54776 > xxx.xxx.xx.65.53: 59779+ [1au] ANY
ANY? re. (31)
11:39:19.256631 IP 189.89.102.100.65162 > xxx.xxx.xx.150.53: 44624+ [1au]
ANY ANY? re. (31)
11:39:19.256644 IP 189.89.102.100.22683 > xxx.xxx.xx.193.53: 25792+ [1au]
ANY ANY? re. (31)
11:39:19.256987 IP 189.89.102.100.9300 > xxx.xxx.xx.151.53: 26582+ [1au] ANY
ANY? re. (31)
11:39:19.259458 IP 189.89.102.100.52905 > xxx.xxx.xx.153.53: 51522+ [1au]
ANY ANY? re. (31)
11:39:19.259569 IP 189.89.102.100.37734 > xxx.xxx.xx.65.53: 40851+ [1au] ANY
ANY? re. (31)
11:39:19.261337 IP 189.89.102.100.62052 > xxx.xxx.xx.150.53: 17283+ [1au]
ANY ANY? re. (31)
#named –v
BIND 9.4.-ESV-R5-P1
Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do named,
será que realmente pode ser uma falha?
O pior é que esse ataque não foi a primeira vez que ocorreu, das outras
vezes o IP de origem era diferente.
Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, xxx.xxx.xx.193,
yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um outro.
Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para esse
IP 189.89.102.100 e tudo voltou ao normal.
Mais detalhes sobre a lista de discussão freebsd