[FUG-BR] Ataque DNS

Cleiton Alves cleitondebian em gmail.com
Quinta Outubro 4 08:36:05 BRT 2012 

, provavelment eh um bot
Em 04/10/2012 08:25, "Ricardo" <ricardobvolpato em yahoo.com.br> escreveu:

> Pessoal, boa tarde.
>
> Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois
> servidores DNS dentro da nossa rede.
>
> Vejam uma parte do tcpdump:
>
> 11:39:19.240474 IP 189.89.102.100.54036 > xxx.xxx.xx.151.53: 58536+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.240483 IP 189.89.102.100.37878 > xxx.xxx.xx.150.53: 5989+ [1au]
> ANY
> ANY? re. (31)
>
> 11:39:19.240489 IP 189.89.102.100.45591 > xxx.xxx.xx.193.53: 27930+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.246150 IP 189.89.102.100.43027 > xxx.xxx.xx.65.53: 40268+ [1au]
> ANY
> ANY? re. (31)
>
> 11:39:19.246165 IP 189.89.102.100.50745 > xxx.xxx.xx.153.53: 629+ [1au] ANY
> ANY? re. (31)
>
> 11:39:19.247924 IP 189.89.102.100.48725 > xxx.xxx.xx.150.53: 22654+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.248160 IP 189.89.102.100.54661 > xxx.xxx.xx.151.53: 58655+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.248347 IP 189.89.102.100.60093 > xxx.xxx.xx.193.53: 60843+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.253574 IP 189.89.102.100.44973 > yyy.yy.yyy.1.53: 54651+ [1au] ANY
> ANY? re. (31)
>
> 11:39:19.254280 IP 189.89.102.100.26620 > xxx.xxx.xx.153.53: 55883+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.254516 IP 189.89.102.100.54776 > xxx.xxx.xx.65.53: 59779+ [1au]
> ANY
> ANY? re. (31)
>
> 11:39:19.256631 IP 189.89.102.100.65162 > xxx.xxx.xx.150.53: 44624+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.256644 IP 189.89.102.100.22683 > xxx.xxx.xx.193.53: 25792+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.256987 IP 189.89.102.100.9300 > xxx.xxx.xx.151.53: 26582+ [1au]
> ANY
> ANY? re. (31)
>
> 11:39:19.259458 IP 189.89.102.100.52905 > xxx.xxx.xx.153.53: 51522+ [1au]
> ANY ANY? re. (31)
>
> 11:39:19.259569 IP 189.89.102.100.37734 > xxx.xxx.xx.65.53: 40851+ [1au]
> ANY
> ANY? re. (31)
>
> 11:39:19.261337 IP 189.89.102.100.62052 > xxx.xxx.xx.150.53: 17283+ [1au]
> ANY ANY? re. (31)
>
>
>
> #named –v
>
> BIND 9.4.-ESV-R5-P1
>
>
>
> Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do
> named,
> será que realmente pode ser uma falha?
>
> O pior é que esse ataque não foi a primeira vez que ocorreu, das outras
> vezes o IP de origem era diferente.
>
>
>
> Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, xxx.xxx.xx.193,
> yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um outro.
>
> Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para
> esse
> IP 189.89.102.100 e tudo voltou ao normal.
>
>
>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd