[FUG-BR] Ataque DNS
Saul Figueiredo
saulfelipecf em gmail.com
Quinta Outubro 4 08:54:51 BRT 2012
Não se trata de falha do named. Vai acontecer coisas desse tipo as vezes,
afinal, você por acaso sabe todos os ips que virão resolver nomes no seu
servidor? pois é...
--
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)
Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
Linux User: #554651
saulfelipecf em gmail.com
<saul-felipe em hotmail.com>
Em 4 de outubro de 2012 08:36, Cleiton Alves <cleitondebian em gmail.com>escreveu:
> , provavelment eh um bot
> Em 04/10/2012 08:25, "Ricardo" <ricardobvolpato em yahoo.com.br> escreveu:
>
> > Pessoal, boa tarde.
> >
> > Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois
> > servidores DNS dentro da nossa rede.
> >
> > Vejam uma parte do tcpdump:
> >
> > 11:39:19.240474 IP 189.89.102.100.54036 > xxx.xxx.xx.151.53: 58536+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.240483 IP 189.89.102.100.37878 > xxx.xxx.xx.150.53: 5989+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.240489 IP 189.89.102.100.45591 > xxx.xxx.xx.193.53: 27930+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.246150 IP 189.89.102.100.43027 > xxx.xxx.xx.65.53: 40268+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.246165 IP 189.89.102.100.50745 > xxx.xxx.xx.153.53: 629+ [1au]
> ANY
> > ANY? re. (31)
> >
> > 11:39:19.247924 IP 189.89.102.100.48725 > xxx.xxx.xx.150.53: 22654+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.248160 IP 189.89.102.100.54661 > xxx.xxx.xx.151.53: 58655+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.248347 IP 189.89.102.100.60093 > xxx.xxx.xx.193.53: 60843+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.253574 IP 189.89.102.100.44973 > yyy.yy.yyy.1.53: 54651+ [1au]
> ANY
> > ANY? re. (31)
> >
> > 11:39:19.254280 IP 189.89.102.100.26620 > xxx.xxx.xx.153.53: 55883+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.254516 IP 189.89.102.100.54776 > xxx.xxx.xx.65.53: 59779+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.256631 IP 189.89.102.100.65162 > xxx.xxx.xx.150.53: 44624+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.256644 IP 189.89.102.100.22683 > xxx.xxx.xx.193.53: 25792+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.256987 IP 189.89.102.100.9300 > xxx.xxx.xx.151.53: 26582+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.259458 IP 189.89.102.100.52905 > xxx.xxx.xx.153.53: 51522+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.259569 IP 189.89.102.100.37734 > xxx.xxx.xx.65.53: 40851+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.261337 IP 189.89.102.100.62052 > xxx.xxx.xx.150.53: 17283+ [1au]
> > ANY ANY? re. (31)
> >
> >
> >
> > #named –v
> >
> > BIND 9.4.-ESV-R5-P1
> >
> >
> >
> > Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do
> > named,
> > será que realmente pode ser uma falha?
> >
> > O pior é que esse ataque não foi a primeira vez que ocorreu, das outras
> > vezes o IP de origem era diferente.
> >
> >
> >
> > Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153,
> xxx.xxx.xx.193,
> > yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um
> outro.
> >
> > Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para
> > esse
> > IP 189.89.102.100 e tudo voltou ao normal.
> >
> >
> >
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd