Página 1 de 1

Ataques à porta 53

Enviado: 30 Mar 2015, 10:47
por Brazall
Trabalho em um provedor de internet. Temos um servidor de DNS. Nossos clientes são autenticados com IPs públicos com PPPoE. Em um de nossos roteadores Intelbras, tiamos um IP FIXO e notamos que o nosso servidor de DNS estava recebendo ataques vindo do roteador Intelbras. Ao que me parece, o DNS cadastrado no INTELBRAS estava sendo usado por alguem para diferir ataques ao nosso servidor. Verifiquei que também acontecia em outro roteador contra o IP 8.8.8.8 da google.

Gostaria de saber como bloquear o acesso externo à esta porta.

Veja abaixo o teste.
Análise feita através do aplicativo linux tcpdump
Sintaxe usada com o comando tcpdump: tcpdump -n -i eth0 dst port 53 and src host 187.49.17.183

Resultado em obtido em um minuto (394 requisições):
08:52:00.447510 IP 187.49.17.183.1042 > 187.49.16.46.53: 65135+ A? t.www.ludashi741.com. (38)
08:52:00.697196 IP 187.49.17.183.1042 > 187.49.16.46.53: 61662+ A? ptofgipxxqn.www.ludashi741.com. (48)
08:52:00.771442 IP 187.49.17.183.1042 > 187.49.16.46.53: 40098+ A? qlblwzeyxtr.www.ludashi852.com. (48)
08:52:00.776522 IP 187.49.17.183.1042 > 187.49.16.46.53: 13415+ A? rixiaafnlca.www.ludashi852.com. (48)
08:52:00.898622 IP 187.49.17.183.1042 > 187.49.16.46.53: 46030+ A? h.www.ludashi852.com. (38)
08:52:00.926024 IP 187.49.17.183.1042 > 187.49.16.46.53: 62921+ A? z.www.ludashi852.com. (38)
08:52:00.981913 IP 187.49.17.183.1042 > 187.49.16.46.53: 17670+ A? nocdrfguijkyz.www.ludashi963.com. (50)
08:52:01.266653 IP 187.49.17.183.1042 > 187.49.16.46.53: 34308+ A? nbcqesthvwxlm.www.ludashi963.com. (50)
08:52:01.271318 IP 187.49.17.183.1042 > 187.49.16.46.53: 55767+ A? jpzlvchhkzjasfm.www.ludashi741.com. (52)
08:52:01.353941 IP 187.49.17.183.1042 > 187.49.16.46.53: 8246+ A? jxhkdxp.www.ludashi963.com. (44)
08:52:01.368373 IP 187.49.17.183.1042 > 187.49.16.46.53: 20792+ A? vzzwabv.www.ludashi741.com. (44)
08:52:01.492556 IP 187.49.17.183.1042 > 187.49.16.46.53: 49820+ A? cif.www.ludashi741.com. (40)
08:52:01.495636 IP 187.49.17.183.1042 > 187.49.16.46.53: 61352+ A? hcr.www.ludashi741.com. (40)
08:52:01.558683 IP 187.49.17.183.1042 > 187.49.16.46.53: 44215+ A? xru.www.ludashi963.com. (40)
08:52:01.565672 IP 187.49.17.183.1042 > 187.49.16.46.53: 39376+ A? pcv.www.ludashi963.com. (40)
08:52:01.626147 IP 187.49.17.183.1042 > 187.49.16.46.53: 11582+ A? rlmoo.www.ludashi852.com. (42)
.
.
.