dns amplification attack

unitedplaydj · 8 Ene 2014

Hola Betas, soy medio novato en el tema vps, y me ha llegado un correo muy enojados y me suspendieron el vps. Según el correo que me mandaron un sitio sufrió un ataque pero no entiendo mucho. A alguien le paso?
dns amplification attack

P/D: no se si este tema va aqui

epsilon77 · 8 Ene 2014

Seria bueno que nos dieras un poco mas de informacion, si es posible el correo que te envio el proveedor, para saber en realidad que ocurrio y a que se debe,

unitedplaydj · 8 Ene 2014

me mandaron esta notificacion

udp 1344 0 141.255.164.26:54180 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:35236 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:46756 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:50084 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:58277 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:33317 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:59685 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:52645 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:33189 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:41253 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:56869 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:44965 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:33573 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:56997 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:44581 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:33829 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:41125 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:33445 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:51750 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:56870 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:56742 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:53542 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:53286 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:42022 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:45094 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:35750 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:34854 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:48678 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:32934 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:41638 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:54182 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:50342 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:38438 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:44838 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:53030 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:46886 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:56359 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:58663 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:32807 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:42663 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:41639 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:36647 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:37159 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:43175 190.211.253.37:53 ESTABLISHED
udp 1344 0 141.255.164.26:60199 190.211.253.37:53 ESTABLISHED

php-cgi 18343 www 481u IPv4 1657492274 0t0 UDP misitio.com:37989->dns03.privatelayer.com:domain

---------- Post agregado el 08-ene-2014 hora: 17:24 ----------

epsilon77 dijo:
Seria bueno que nos dieras un poco mas de informacion, si es posible el correo que te envio el proveedor, para saber en realidad que ocurrio y a que se debe,

ahi puse lo que me mandaron, gracias por contestar

Apolo · 8 Ene 2014

¿Que servidor DNS tienes instalado en tu VPS? El tipo de ataque que te dice tu proveedor se debe a que tienes un "DNS resolver" abierto, que permite consultas públicas DNS recursivas.

Si tienes instalado el clásico BIND, busca en su documentación acercca de "open dns resolver".

Si quieres leer información técnica, Cisco lo explica bastante bien y con dibujillos, pero en inglés:

DNS Best Practices, Network Protections, and Attack Identification
DNS Best Practices, Network Protections, and Attack Identification - Cisco Systems

Y si no tienes ni idea de todo esto, contrata un VPS administrado o a un servicio que lo administre por ti.

epsilon77 · 8 Ene 2014

efectivamente como dice [MENTION=4864]Apolo[/MENTION] lo mas seguro es que en la configuracion de tu BIND tienes habilitada las consultas recursivas, configurar el dns de esta forma hace casi que de inmediato que tu servidor sea vulnerable a un envenenaniento DNS.

Ahora las preguntas de rigor:

¿Es necesario las consultas recursivas? si no las necesitas es mejor deshabilitar este parametro en la configuracion del bind
¿Es necesario tener un servidor DNS corriendo en tu maquina? En realidad no se cual seran las funciones de tu server, pero si no necesitas el servicio DNS lo mejor es deshabilitarlo.

Saludos

skamasle · 8 Ene 2014

Pues valla proveedor, enojados y suspenden.. es desde la misma ip es ver si es una ip buena o sospechosa / atacante y bloquearla que no es complicado como medida temporal antes de suspender al cliente.

Ángel Suárez · 8 Ene 2014

skamasle dijo:
Pues valla proveedor, enojados y suspenden.. es desde la misma ip es ver si es una ip buena o sospechosa / atacante y bloquearla que no es complicado como medida temporal antes de suspender al cliente.

Créeme que ni de lejos todos los "servicios técnicos" de páginas que venden alojamiento web son tan eficaces como tú compañero...

7:

unitedplaydj · 8 Ene 2014

skamasle dijo:
Pues valla proveedor, enojados y suspenden.. es desde la misma ip es ver si es una ip buena o sospechosa / atacante y bloquearla que no es complicado como medida temporal antes de suspender al cliente.

la verdad que si, me mandaron un correo cuando avisándome que me suspendieron y encima me dijeron "ingenuo" eso me molesto mucho y no me dieron la respuesta como para solucionar el problema, tuve q recurrir aquí. Menos mal que aquí hay excelentes personas, gracias por sus respuestas