iptraf

Miguel Oyarzo O. admin en aim.cl
Jue Feb 7 18:06:55 CLST 2008


At 16:06 07/02/2008, Alberto Rivera wrote:
>Satara Plaza wrote:
>>Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que hoy
>>revise el cisco y me encontre que las luces de TxRX estaban como locas , no
>>usual como de costumbre. Por lo que fui a mi servidor (Debian etch, squid
>>transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp,
>>apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para la Wan
>>con ip fija de entel, eth1para la Lan) , y lo revise con :
>>
>me parece que son muchos servicios en una sola máquina, en lo personal no 
>se me ocurriría correr el squid con el servidor de correo o el bind, pero 
>esa es la gracia de esto =) ...
>bueno te comento que obviamente esos mensaje son del bind ya que ese es el 
>que trabaja en el 59 UDP, pero en realidad puede ser por varias cosas, 
>primero te pueden

de que hablas ....
  en la salida iptraf mostrada  dice
UDP (59 bytes)  -  nada que ver con puerta UDP 59
(bind trabaja en el 53/UDP para resolucion... y otra para trasferencias de 
zonas)

>haber tomado el proxy desde el exterior y están resolviendo con tu bind,

no, porque el trafico mostrado es externo. Cuando se usa proxy la 
resolucion de nombres
es local en la maquina.

>el bind esta abierto a conexiones exteriores y están resolviendo con tu bind,

No creo. Solo hay trafico en una direccion y todos los paquetes de entrada
tienen el mismo tamanio. No es el patron esperable de algo asi.

>te pueden haber tomado el postfix desde el exterior  y están enviando 
>correos a través de tu dominio o algo así (esto lo puede hacer un virus 
>desde dentro de la lan)

No, el trafico entrante observado es directo hacia la puerta 53 del dns
ademas, no se envian mensajes a travez de un dominio (no tiene sentido).
...
>lo mejor es que veas bien los logs del asunto, o sea, revisar lo que te 
>dice el kernel  el auth el syslog y los que tengas para los servicios en 
>busca de algo extraño y además el tiempo desde que esto te ocurre, ya que 
>con eso podrás tener una visión más completa del asunto ... para revisar 
>puedes hacer lago así como : cat /var/log/syslog |grep named y te saldra ..

yep

>otras pruebas que puedes hacer es bajar el iftop y ver porque interfaz se 
>esta transmitiendo los datos ... y así varias más, lo otro es que debes 
>revisar tu configuración del bind  y colocale algun software como rkhunter 
>solo para que este más tranquilo aunque no creo que sea eso ...
>que pasa cuando bajas el servicio bind ???? se detienen los mensajes ??? 
>si es asi es eso ... pero colocale un tail -f /var/log/syslog |grep named 
>para ver que sale ...
>
>bueno cualquier cosa escribe =)
>...
>Alberto Rivera Muñoz
>Ingeniero en Informática
>
>># iptraf
>>mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a analizar
>>, para mi sorpresa me aparece en paquetes capturados (parte inferior del
>>iptraf)
>>UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
>>HWaddr ....
>>UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
>>HWaddr ....
>>UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
>>HWaddr ....
>>Cesar.

Esto mas bien se ve como un ataque tipico DoS contra la puerta 53
Como supongo que tu intencion es seguir usando tu DNS para entregar
los datos de tu zona este tipo de ataque resulta complicado de bloquear.

Dices que tienes un router CISCO, puedes pedir a tu proveedor que
active y configure "Committed Access Rate" (CAR). Esto
se puede hacer con listas extendidas ACL.
Pensando que tu maquina es "chica"  mejor
le encargas al router descartar exesivo consumo de ancho de banda
producto de esos paques SYN (o no-SYN talvez), de seguro te afecta.

Otra causa (posible) es que terceros esten realizando
un SPAM masivo con remitente (tu dominio).
Si es fue lo que paso entonces existiran decenas de miles de maquinas
consultando a tu DNS por el MX del remitente.
Las consultas repetidas desde una misma maquina se explican
por el ancho de banda insufiennte no mas (deben repetirse una y otra vez)

Esto se puede determinar si es que vez exesivas consultas DNS desde diferentes
IPs al mismo tiempo y que porsupuesto sea poco habitual en tu maquina.

Te recomiendo que agregues un record SPF a tu zona (o zonas) para reducir
la suplantacion de este tipo .


Saludos,

Miguel Oyarzo O.
Austro Internet S.A.
Punta Arenas







Más información sobre la lista de distribución Linux