none
Ataque DNS RRS feed

  • Pregunta

  • Hola, tengo un servidor de DNS público que está siendo víctima de un ataque DoS.

    Inicialmente lo tenia en un Windows Server 2008 R2, pero al iniciarse el ataque, la memoria que utiliza el proceso dns.exe se disparaba hasta ocupar el 98% de la memoria, y bloqueaba el servidor.

    Traspasé el servidor de DNS a un Windows Server 2012, y parece que no usa tanta memoria, pero me está utilizando todo el ancho de banda disponible.

    Resumo las características del ataque:

    • Los ataques se realizan desde IPs dinámicas
    • Los ataques se realizan desde múltiples máquinas al mismo tiempo, ubicadas en Canada y USA principalmente, aunque hay bastantes más países.
    • Las máquinas van cambiando cada cierto tiempo.
    • El proceso dns.exe "envía" muchos datos, pero recibo muy pocos. Tengo más saturación en el tráfico de salida de mis servidores que en el de entrada.

    Para mitigar los problemas, he tomado las siguientes medidas:

    • He cambiado el servicio DNS a un Windows Server 2012, que parece aguantar mejor el ataque.
    • Trato de cortar las IPs con el Firewall, pero al rato cambian las IPs, por lo que no es una solución viable.
    • He limitado el ancho de banda para el programa "dns.exe" mediante QoS, con lo que consigo no saturar la red, pero a momentos sigue cayendo.
    • He eliminado la recursión en el servicio DNS para que solo se resuelvan mis dominios.

    A partir de aquí, acepto cualquier sugerencia o pista!

    Alguien más está sufriendo ataques de este tipo?

    Un saludo, y gracias por vuestro tiempo!


    Un saludo! Juan Segura

    jueves, 12 de diciembre de 2013 10:10