iptraf
Alberto Rivera
rivera.alberto en gmail.com
Vie Feb 8 09:26:22 CLST 2008
Miguel Oyarzo O. wrote:
> At 16:06 07/02/2008, Alberto Rivera wrote:
>> Satara Plaza wrote:
>>> Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que
>>> hoy
>>> revise el cisco y me encontre que las luces de TxRX estaban como
>>> locas , no
>>> usual como de costumbre. Por lo que fui a mi servidor (Debian etch,
>>> squid
>>> transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp,
>>> apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para
>>> la Wan
>>> con ip fija de entel, eth1para la Lan) , y lo revise con :
>>>
>> me parece que son muchos servicios en una sola máquina, en lo
>> personal no se me ocurriría correr el squid con el servidor de correo
>> o el bind, pero esa es la gracia de esto =) ...
>> bueno te comento que obviamente esos mensaje son del bind ya que ese
>> es el que trabaja en el 59 UDP, pero en realidad puede ser por varias
>> cosas, primero te pueden
>
> de que hablas ....
> en la salida iptraf mostrada dice
> UDP (59 bytes) - nada que ver con puerta UDP 59
> (bind trabaja en el 53/UDP para resolucion... y otra para
> trasferencias de zonas)
buena tienes razón.. condoro... lo siento
>
>> haber tomado el proxy desde el exterior y están resolviendo con tu bind,
>
> no, porque el trafico mostrado es externo. Cuando se usa proxy la
> resolucion de nombres
> es local en la maquina.
>
>> el bind esta abierto a conexiones exteriores y están resolviendo con
>> tu bind,
>
> No creo. Solo hay trafico en una direccion y todos los paquetes de
> entrada
> tienen el mismo tamanio. No es el patron esperable de algo asi.
>
>> te pueden haber tomado el postfix desde el exterior y están enviando
>> correos a través de tu dominio o algo así (esto lo puede hacer un
>> virus desde dentro de la lan)
>
> No, el trafico entrante observado es directo hacia la puerta 53 del dns
> ademas, no se envian mensajes a travez de un dominio (no tiene sentido).
pero pueden estar haciendo spam desde la máquina o en realidad
utilizandola para spam y resolver por eso la cantidad de mensajes del
dns... o pueden incluso una de las máquinas de la lan tener un virus que
este haciendo esta función ... como se está controlando el acceso interno ¿?
>
> ...
>> lo mejor es que veas bien los logs del asunto, o sea, revisar lo que
>> te dice el kernel el auth el syslog y los que tengas para los
>> servicios en busca de algo extraño y además el tiempo desde que esto
>> te ocurre, ya que con eso podrás tener una visión más completa del
>> asunto ... para revisar puedes hacer lago así como : cat
>> /var/log/syslog |grep named y te saldra ..
>
> yep
>
>> otras pruebas que puedes hacer es bajar el iftop y ver porque
>> interfaz se esta transmitiendo los datos ... y así varias más, lo
>> otro es que debes revisar tu configuración del bind y colocale algun
>> software como rkhunter solo para que este más tranquilo aunque no
>> creo que sea eso ...
>> que pasa cuando bajas el servicio bind ???? se detienen los mensajes
>> ??? si es asi es eso ... pero colocale un tail -f /var/log/syslog
>> |grep named para ver que sale ...
>>
>> bueno cualquier cosa escribe =)
>> ...
>> Alberto Rivera Muñoz
>> Ingeniero en Informática
>>
>>> # iptraf
>>> mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a
>>> analizar
>>> , para mi sorpresa me aparece en paquetes capturados (parte inferior
>>> del
>>> iptraf)
>>> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
>>> HWaddr ....
>>> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
>>> HWaddr ....
>>> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
>>> HWaddr ....
>>> Cesar.
>
> Esto mas bien se ve como un ataque tipico DoS contra la puerta 53
> Como supongo que tu intencion es seguir usando tu DNS para entregar
> los datos de tu zona este tipo de ataque resulta complicado de bloquear.
>
> Dices que tienes un router CISCO, puedes pedir a tu proveedor que
> active y configure "Committed Access Rate" (CAR). Esto
> se puede hacer con listas extendidas ACL.
> Pensando que tu maquina es "chica" mejor
> le encargas al router descartar exesivo consumo de ancho de banda
> producto de esos paques SYN (o no-SYN talvez), de seguro te afecta.
pero esto solo serviría para bloquear momentáneamente los ataques, si es
que fuera eso...
>
>
> Otra causa (posible) es que terceros esten realizando
> un SPAM masivo con remitente (tu dominio).
> Si es fue lo que paso entonces existiran decenas de miles de maquinas
> consultando a tu DNS por el MX del remitente.
> Las consultas repetidas desde una misma maquina se explican
> por el ancho de banda insufiennte no mas (deben repetirse una y otra vez)
eso eso ...
>
> Esto se puede determinar si es que vez exesivas consultas DNS desde
> diferentes
> IPs al mismo tiempo y que porsupuesto sea poco habitual en tu maquina.
>
> Te recomiendo que agregues un record SPF a tu zona (o zonas) para reducir
> la suplantacion de este tipo .
>
>
> Saludos,
>
> Miguel Oyarzo O.
> Austro Internet S.A.
> Punta Arenas
>
>
>
>
>
>
--
Alberto Rivera Muñoz
Ingeniero en Informática
Registered User 353961 - http://counter.li.org
Más información sobre la lista de distribución Linux