DNS Attack Writer a Victim of His Own Creation =
http://www.pcworld.com/businesscenter/article/149136/dns_attack_writer_a_victim_of_his_own_creation.html

Verizon Business, DNS facts and scenarios =
http://securityblog.verizonbusiness.com/2008/07/25/dns-exploits-what-could-actually-happen/

A ver qué cuenta Kaminsky en Blackhat,

Un abrazo… y enhorabuena a los que ya están de vacaciones !!!

http://bandaancha.eu/articulo/5886/envenenando-dns-telefonica

(a) “Dicen” algunos que el parcheo es sólo problema de lado servidor DNS. Es mentira. ej: Windows tiene un cliente DNS resolver y hace caché…

Casualmente lo tengo desactivado hace tiempo por recomendación de Spybot S&D v1.5.2, entre otros (hmmm…)

Sobre esta caché DNS de Windows, me llama profundamente la atención un parámetro de registro “QueryIpMatching” que por default (incl. S.O. parcheados hasta julio 2008) permiten que Windows admita datos DNS de direcciones IP aunque no haya solicitado nada !! (puff)

Mis dedos no pueden responder a todo lo que pasa por mi mente con este dato; continúo leyendo al respecto. Sólo se me ocurre que en 2008, ese parámetro realmente ya es obsoleto (no me cuadra contra source port y transaction ID, aunque sea en máquinas Windows).

(b) Ok, volviendo al punto del UDP Port Scan supuesto del DNS de Orange (62.37.237.140) y tu respuesta, hoy estoy tranquilo; pero para el futuro… no. Pienso en IP spoofing de malware corriendo en 127.0.0.1… Entonces es un fake-ORANGE en local o remoto!

Ej:

malware1-bot.exe en PC’s haciendo muuuúltiples peticiones a servidores DNS reales de dominios aleatorios inexistentes. Menuda cadena de peticiones se genera ¿no? DNS1 -> DNS2 -> … ROOT y respuestas de retorno. Pensando en esto, se entiende que MS no recomiende deshabilitar cache-DNS. Si no, Internet se nos cae.

malware2-local-poisoner.exe el que genera respuestas falsas para pillar por estadística puerto/transaction ID, para infectar 1 de cada 10.000 peticiones DNS, por poner algún número.

Acaso hay maneras más fáciles de hacer pharming, simplemente envenenando directamente la caché-DNS de Windows. Pero una combinación de lo anterior puede inspirar a gente; si no la ha inspirado ya y hace tiempo (ej: ROCK PHISH group)

En fin, está entretenido.

Los tiempos de reacción de los ISPs y carriers es bastante decepcionante, la verdad. Un vistazo al analizador de DNS que citas basta para comprobarlo.

La solución óptima pasa por usar, hasta que el tema esté aclarado, OpenDNS.

En el log que muestras, veo la pauta típica y tópica de un escaneo de puertos automatizado. Teniendo en cuenta que 62.37.237.140 es el DNS de Orange, yo no me preocuparía ;)

Ej: en máquinas windows no parcheadas, el rango de puertos podría limitarse a 1030 – 5000

A ver qué compañía reporta el primer troyano con estas características y cuándo. Yo calculo para la 2a. semana de agosto…. :-)

(*) Caché de blogspot Matasano (?)

Mis conocimientos de DNS son muy básicos, pero la reciente lectura de arriba (*) hace que me pregunte OTRA vez el significado de las siguientes entradas en log de cortafuegos personal Comodo que vengo observando desde hace tiempo (había leído que eran “normales”, provenientes de los DNS; pero ahora no estoy tan seguro):

Entrada típica Log:
Date/Time :2008-07-29 00:56:02
Severity :High
Reporter :Network Monitor
Description: UDP Port Scan
Attacker: 62.37.237.140
Ports: 5356, 38343, 11972, 64253, 33260, 17151, 20975, 2038, 995, 6613, 24774, 48086, 63440, 47054, 18892, 63444, 10234, 34754, 3541, 3833, 10432, 58336, 21989, 43503, 14321, 10787, 47675, 10938, 44194, 53555, 32093, 16721, 22293, 54033, 23345, 30039, 22493, 11963, 29626, 10938, 10930, 8762, 43691, 10922, 15017, 53525, 7511, 21809, 29055, 65365
The attacker has been temporarily blocked

62.37.237.140 es el DNS que tengas configurado. Hasta ahora pensaba que realmente no hay ataque (y probablemente no lo es), pero me llama la atención, por ejemplo hoy, que estas entradas se repiten más o menos cada 45 minutos (sin haber pinchado nuevos links).

PREGUNTA: ¿Qué significan…? Por si alguien me puede orientar. Ejemplo:

Hipotesis1: son ráfagas de respuestas DNS genuinas que el FW rechaza por su ritmo. O actualizaciones que, realmente no competen a un PC con Windows, por no ser realmente un auto-servidor DNS (?). Not clear

Hipotesis2 (teoría de la conspiración :-) ): son ráfagas de respuestas DNS falsas (spoofing malware) intentando envenenar por azar.

Hipotesis3: la que sugiráis vosotros.

Seguramente lo más sencillo e inofensivo será lo más probable.

GRACIAS por cualquier orientación (ej: dónde informarme).

Me sorprende ‘positivamente’ que a día de hoy las cadenas de resolución de nombrado / servicio DNS de algunos ISP’s empiezan a estar ‘parcheadas’. Esto se puede visualizar, por ejemplo, en el sitio web de bandaancha:

http://bandaancha.eu/analizador-dns

En la 3a columna del listado de DNS’s se puede apreciar si es vulnerable o no. Más o menos 1 de cada 5 está marcado como NO vulnerable (jeje, yo esperaba que fuera peor ;-) ).

En cualquier caso, espero que los delincuentes no hagan su AGOSTO y nos pillen en bañador (qué casualidad), sabiendo que ya empiezan a salir propuestas de exploits y Mr Kaminsky, si no recuerdo mal, hará una demostración de su descubrimiento a principios del mes veraniego.

DNS’s rápidos / no vulnerables que he testeado hoy exitosamente:

208.67.222.222, 208.67.220.220 (OpenDNS)
217.116.0.176, 217.116.0.177 (ns1, ns2.acens.net)
62.37.237.140 (orange)

Hoy, otros DNS como ya.com (62.151.20.6) y Telefonica (ej: 80.58.0.97 y 80.58.32.97) resultan inconsistentes en el test de entropía.

No está de más poner DNS’s de confianza tanto en vuestros portátiles (sí, ese que te lleva a la playa) como en vuestros routers ADSL… ;-)

Un abrazo a todos :-)