Tráfico SYN anormal desde servidores DNS Blackhole

2

He estado recibiendo alertas de firmas basadas en anomalías para tráfico SYN anormalmente alto. El tráfico proviene de servidores DNS de agujero negro. No había tenido ninguna experiencia con los servidores Blackhole antes de esto, así que todo lo que sé proviene de Wikipedia: enlace

Mi pregunta es:

¿Por qué estaríamos viendo el tráfico SYN de los servidores DNS de agujero negro?     ¿Se está generando el tráfico debido a que los servidores DNS internos reenvían el tráfico de manera inapropiada?

Si es relevante para la pregunta, ¿cómo funcionan estos servidores más allá de lo que está en el artículo de wiki?

    
pregunta GingerBeard 29.05.2015 - 04:23
fuente

1 respuesta

2

¿Se trata de una inundación SYN falsificada?

A primera vista, esto puede parecer un ataque. Un atacante puede iniciar una Inundación SYN sin usar su dirección IP real. Un atacante elabora un paquete con una IP de origen de una IP conocida como la de un servidor dns de agujero negro. Su servidor puede agotar los recursos al intentar responder con un paquete SYN-ACK.

Cómo puedo saber

Si su servidor responde con un paquete SYN-ACK, entonces es probable que el paquete original sea falsificado si el servidor no responde con un paquete ACK final.

¿Por qué veo tráfico TCP para DNS?

Por RFC6305

  

Una solicitud enviada a uno de estos servidores dará como resultado que se devuelva una respuesta al cliente. La respuesta normalmente será un datagrama UDP, aunque es perfectamente válida para que las solicitudes se realicen a través de TCP. En ambos casos, el puerto de origen de los paquetes que regresan al sitio que originó la solicitud de DNS será 53.

Explicaciones proporcionadas por RFC6305

La Sección 6 de RFC6305 proporciona más explicaciones de por qué puede ver este tráfico.

  
  1. Tráfico entrante de servidores AS112

         

    Donde se encuentran los firewalls o los sistemas de detección de intrusos (IDS)   configurado para bloquear el tráfico recibido de los servidores AS112,   La revisión superficial del tráfico puede parecer alarmante para el sitio   administradores.

         

    Dado que las solicitudes dirigidas en última instancia a los servidores AS112 suelen ser     activada automáticamente por las aplicaciones, revisión de los registros del cortafuegos     puede indicar un gran número de infracciones de políticas que se producen en un     Período de tiempo extendido.

         

    Cuando las respuestas de los servidores AS112 están bloqueadas por firewalls, hosts     a menudo volverá a intentar, a menudo con una frecuencia relativamente alta. Esta     puede causar que el tráfico entrante se clasifique erróneamente como una denegación de     Ataque de servicio (DoS). En algunos casos, los puertos de origen utilizados por     Hosts individuales para sucesivos reintentos aumentan en un predecible     moda (por ejemplo, monótonamente), que puede causar las respuestas de la     El servidor AS112 para parecerse a un escaneo de puertos.

         

    Un administrador del sitio puede intentar realizar una medición activa de     el host remoto en respuesta a las alarmas generadas por el tráfico entrante,     p.ej. iniciar un escaneo de puerto para recopilar información sobre     El host que aparentemente está atacando el sitio. Tal escaneo     Por lo general, resulta en un tráfico entrante adicional al sitio     realizar la medición, por ejemplo, una inundación aparente de ICMP     Mensajes que pueden activar alarmas de cortafuegos adicionales y ofuscar     el proceso de identificación del tráfico originalmente problemático.

  2.   
    
respondido por el amccormack 29.05.2015 - 05:11
fuente

Lea otras preguntas en las etiquetas