viernes, 23 de enero de 2009

Regla Snort: Amplificación DNS

Tras leer en el ISC de SANS y en SecurityByDefault los últimos problemas de ataques de Denegación de Servicio utilizando una vulnerabilidad de amplificación DNS realizando una query para obtener los servidores de nombres raices, lo primero que he pensado es el peligro que supone que usen contra nuestras empresas este tipo de ataques y que nos hagan "complices" de este ataque contra otra máquina.

Por ello, analizando un poquito el paquete que se genera el realizar esta query:




Se ha desarrollado una regla de Snort para detectar el intento de usar nuestros propios DNSs para realizar el ataque contra otras infraestructuras.

La regla sería la siguiente:

alert udp $EXTERNAL_NET any -> $DNS_SERVERS 53 (msg:"DNS Amplification Attack - Root Servers"; content:"|00 00 02 00 01|"; threshold: type both, track by_src, count 10, seconds 60; reference:url,isc.sans.org/diary.html\?storyid=5713; classtype:attempted-dos; sid:2000001; rev:1;)

Esto detectaría rafagas de peticiones DNS solicitando los servidores raiz contra nuestros servidores (contenido "00 00 02 00 01" como podemos ver en la imñagen).

Si alguien quiere comprobar si es vulnerable que use la web que ha preparado SANS, y si quiere más información que acuda al artículo de SecurityByDefault, que lo explica muy bien.

Por cierto, a la regla le he añadido en el último momento el "threshold" y eso no lo tengo tan probado, estad alerta, y ya me comentais que tal os ha funcionado.