[ITNOG] Router ZyXel usati come amplificatori DDoS?

Daniele Duca daniele.duca@area.trieste.it
Ven 5 Apr 2013 16:03:38 CEST


Per pura statistica, anche certi captive portal commerciali e certi 
controller wireless di una marca chiamata come le isolette dove si va in 
vacanza si comportano da open resolver. :/

Daniele

On 05/04/2013 15:32, Daniele Orlandi wrote:
> Ciao,
>
> Ho notato che da qualche giorno diversi miei clienti con router ZyXel fanno un
> traffico DNS anomalo (praticamente saturano l'upload delle ADSL).
>
> Questi router bacati rispondono alle richieste DNS da fuori.
>
> Quello che vedo sui NAS è un traffico come questo:
>
> Vi51       62.212.6.112    Gi0/1         62.212.0.10     11 0035 0035    20K
> Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 3F3F    11
> Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 231C    10
> Gi0/1      62.212.0.10     Vi51          62.212.6.112    11 0000 0000    20K
> Gi0/1      62.212.0.10     Vi51          62.212.6.112    11 0035 0035    20K
> Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 1E15    11
> Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 BCA3 0035    15
> Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 1FCD    11
> Vi51       62.212.6.112    Gi0/1         2.124.253.247   11 0035 0AC0    14
> Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 ADFD 0035    15
> Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 D7DF 0035    15
> Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 C43B 0035    15
> Gi0/2      2.124.253.247   Vi51          62.212.6.112    11 C711 0035    15
>
> Per tamponare, visto che di aggiornare quei catorci non se ne parla, ho messo
> dei filtri ma volevo sapere quanto è diffuso il problema...
>
> Ciao,
>



Maggiori informazioni sulla lista itnog