Apoyo de ShadowServer en detección de servidores dns abiertos

Este mes comenzamos un proyecto con el CSIRT de LACNIC con el objetivo de disminuir el número de DNS abiertos en la región.

La preocupación es, específicamente, con los openresolvers que son DNS que están expuestos al público y resuelven peticiones que llegan desde cualquier lugar de Internet.

Esta «característica» es aprovechada por terceros maliciosos con la finalidad de utilizar a los DNS que son openresolvers para realizar ataques de reflexión contra terceros, provocando en estos una inundación de paquetes que nunca solicitaron.

Estos ataques pueden ser muy fuertes y es, desde hace años, un problema en Internet. Es por ello que se busca reducir la cantidad de openresolvers que existan en Internet.

Para encontrar openresolvers en la región hemos desarrollado un proceso que nos permite determinar determinando los servidores de DNS ubicados dentro de la región que responden a peticiones de terceros. En una siguiente etapa inmediata al inicio de este proceso se está procediendo a avisar a las organizaciones que tienen estos servicios abiertos, con la finalidad de que puedan revisar y eliminar estos openresolvers. Para ello realizamos una consulta de un record:

test-csirt2.cedia.org.ec

Analizamos la respuesta y guardamos el resultado (si es o no un openresolver). Si usted desea que no analicemos un equipo determinado en su red, le pedimos nos contacte a indique la IP que desea no sea analizada.

Esta semana pasada y con la finalidad de aumentar la capacidad de detección de openresolvers en la región, hemos solicitado apoyo a la fundación ShadowServer, socializando la idea del proyecto. ShadowServer desde hace muchos años realiza un monitoreo de ciertos servicios que están expuestos a Internet.

https://scan.shadowserver.org/dns/

ShadowServer nos muestra estadísticas acumuladas a lo largo de los años al respecto: https://scan.shadowserver.org/dns/stats/

Como se puede notar en el anterior enlace, se ha disminuido el número de openresolvers a nivel mundial, de un pico un poco mayor a 11 millones en el 2014 a aproximadamente 2.6 millones a nivel mundial. No deja de ser un número alto en el que es posible intentar trabajar para disminuirlos, al menos en nuestra región

Luego de que comenzamos el trabajo notamos que en la región esperábamos un número menor de openresolvers, sin embargo nuestras primeras investigaciones arrojan que tenemos un valor con varios ceros a la derecha del número que estimábamos. La parte afortunada es que tenemos aproximadamente el 5% de los openresolvers a nivel mundial.

Al momento estamos unificando la información que ShadowServer nos apoya proveyendo con la que nosotros estamos encontrando. ¿El objetivo?: lograr tener un listado lo más preciso posible sobre los openresolvers en la región para continuar con el trabajo.

Posteriormente iremos publicando estadísticas sobre el trabajo realizado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.