Y yo que queria un viernes tranquilo … pero no. Resulta que el ips ha empezado a cantar (como 600 veces) detecciones de un ataque que denomina «DNS.Unknown.Type». Segun Fg «This indicates detection of a Domain Name Service (DNS) message with unknown «type» field».
Muchas cosas raras sobre esto … veo trafico desde pcs normales (a veces wireless, a veces cable) contra su domain controller, usando 53 tcp (que esta abierto porque los amigos de M$ lo requieren).
Tengo como 1000 clientes usando ese mismo controlador, y solo me detecta el ataque desde una localización remota (que ademas es la unica que esta detras de un meraki). Hemos revisado el meraki y no parece estar haciendo nada raro, solo deja pasar el trafico.
La unica información que da Fg es un link al RFC del protocolo DNS (vamos que eso y nada, casi lo mismo), del año 87.
Ahora la pregunta del millon, que esta haciendo que se juegue un partido de tenis de lo mas interesante. ¿Lo bloqueo?. ¿Un viernes por la tarde?. Dos bandos bien definidos, los del … si lo bloqueas me cago en tu puta calavera y los de bloquealo ahora mismo. Pero nadie lo pone por escrito (como suele ser habitual).
El soporte del FG pasa de mi (como suele ser habitual, los tiempos de respuesta son entre malos y muy malos).
Las capturas de trafico tampoco es que muestren demasiado, solo un paquete al 53 tcp (PSH, ACK)
¿Porque solo desde ese sitio?, ¿Que estan haciendo diferente?. Por supuesto,no tengo acceso a los equipos para sniffar trafico.
This is an anomaly, which may indicate potential attack attempts. -> Y se quedan tan anchos … ¿potential attack attemps de que?
Hace demasiado calor como para ir a ponerme una sudadera (con capucha).