[ITNOG] Router ZyXel usati come amplificatori DDoS?

Daniele Orlandi daniele@orlandi.com
Ven 5 Apr 2013 15:32:06 CEST


Ciao,

Ho notato che da qualche giorno diversi miei clienti con router ZyXel fanno un 
traffico DNS anomalo (praticamente saturano l'upload delle ADSL).

Questi router bacati rispondono alle richieste DNS da fuori.

Quello che vedo sui NAS è un traffico come questo:

Vi51       62.212.6.112    Gi0/1         62.212.0.10     11 0035 0035    20K
Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 3F3F    11
Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 231C    10
Gi0/1      62.212.0.10     Vi51          62.212.6.112    11 0000 0000    20K
Gi0/1      62.212.0.10     Vi51          62.212.6.112    11 0035 0035    20K
Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 1E15    11
Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 BCA3 0035    15
Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 1FCD    11
Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 0AC0    14
Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 ADFD 0035    15
Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 D7DF 0035    15
Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 C43B 0035    15
Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 C711 0035    15 

Per tamponare, visto che di aggiornare quei catorci non se ne parla, ho messo 
dei filtri ma volevo sapere quanto è diffuso il problema...

Ciao,

-- 
  Daniele "Vihai" Orlandi
  Bieco Illuminista #184213


Maggiori informazioni sulla lista itnog