No ser� un ataque de amplificaci�n DNS?, en este caso, no te estar�an atacando a ti, si no us�ndote para atacar alg�n objetivo.
El Tuesday, 04 October del 2016 a las 09:17:47AM, Mauro Antivero escribi�: > Estimados, recientemente hemos estado sufriendo ataques a nuestros > servidores DNS resolvers - no el autoritativo - (algún cliente con virus > hace consultas excesivas). El servidor es recursivo y por supuesto tiene > definidas las ACLs correspondientes para ser utilizado solo por los clientes > que corresponden, el problema como decía es que varios de estos usuarios > están infectados. > > El tema es que son tantas las consultas que hacen que el servidor "se viene > abajo" (si me permiten la expresión tan poco técnica). Estoy viendo la > documentación sobre "RRL - Rate Response Limit" en Bind pero no estoy 100% > seguro si es esto lo que necesitamos. Vamos a poner un ejemplo muy vulgar si > me permiten: > > - Un cliente normal hace una consulta promedio cada 1 segundo (como decía es > un ejemplo cualquiera para que se entienda) > - A partir de 10 consultas por segundo puede parecer sospechoso > - Si supera las 20 consultas por segundo me gustaría que bien no le responda > a más de 20 por segundo, haciendo efectivamente un "rate limit". > > Ese sería el comportamiento deseado, pero aún no estoy seguro si RRL en Bind > sirve exactamente para esto. Según vi hasta ahora se recomienda el uso en > servidores autoritativos para frenar ataques del tipo de amplificación, el > cual no es nuestro caso, ya que se trata de un DNS resolver y el tipo de > ataque es el que se conoce como "pseudo random", en el cual se consulta por > un dominio válido pero con un subdominio inválido, como por ejemplo: > > gsdrt4.aws.com > 2wdfdf.aws.com > qqtedd.aws.com > > Cualquier idea que me puedan dar al respecto es bienvenida, mientras tanto > sigo leyendo documentación. > > Por cierto, el servidor es bastante "potente" (Dell PowerEdge E3-1270, 3.4 > GHz, 4 núcleos físicos con HT y 8 GB RAM), por lo que sobredimensionarlo aún > más no creo que sea una opción válida. Está corriendo Bind > 9.9.5.dfsg-9+deb8u7 sobre Debian Wheezy. Espero no olvidarme de ningún dato > relevante. > > Saludos y muchas gracias, > > Mauro. >
