¿Es este un ataque de DNS?

Navega tus respuestas
5

El siguiente gráfico muestra las consultas de DNS de UDP / seg (azul) y las respuestas de DNS / seg (rojo) del tráfico que pasa por un enrutador durante el período de 4 días. La consulta de DNS es un paquete DNS con query/response flag establecido en 0 en el encabezado y la respuesta del DNS con el indicador establecido en 1 .

  1. ¿Los saltos en respuestas con el ancho de unos 30 minutos se parecen a algún tipo de ataque?
  2. ¿Qué pasa con los saltos en las consultas?
  3. ¿Por qué hay una gran diferencia constante entre las consultas y las respuestas durante un largo período de tiempo?

EDITAR:ElgráficoanteriormuestraDNSsobreUDP.AquíestáelgráficoSYNs/sec:

EDITAR: esta es una parte del tráfico que pasa por un país e internet.

    
pregunta Yasser 21.02.2013 - 10:21
fuente

2 respuestas

1

Dudo en publicar una respuesta simplemente debido a la falta de datos proporcionados, sin embargo, simplemente en base a los gráficos, supongo que esto se debe a alguien que usa este servidor para la tunelización de DNS. David Bianco ha escrito un artículo sobre la detección de túneles DNS mediante el análisis de las estadísticas de la red. Él dice que puedes detectar el túnel DNS al ver una solicitud / respuesta muy desequilibrada de las consultas DNS que pareces tener.

Un enfoque de análisis de tráfico para detectar túneles DNS

    
respondido por el Eric 22.02.2013 - 01:36
fuente
1

Si está interesado en obtener algún tipo de respuesta útil aquí, las capturas de paquetes, los registros de consultas o los registros de flujo de red son una necesidad. En el nivel más básico, necesitamos establecer las relaciones de 5 tuplas para descubrir exactamente qué comunicaciones están sucediendo. A partir de ahí, se podría buscar profundizar en los registros de consultas para averiguar qué es lo que posiblemente está haciendo las solicitudes.

    
respondido por el nPJrlpCZWK 22.02.2013 - 20:08
fuente

Lea otras preguntas en las etiquetas

¿Por qué la vulnerabilidad XSS del sitio que lanza el ataque CSRF hace que el patrón del token del sincronizador no sea seguro? ¿Comprobación de integridad contra el repositorio de paquetes?