Foro de elhacker.net

Buen dia gente de internet, recien tuve un ataque como dice el titulo query flood y me bloqueo el sv y no puedo prenderlo o bueno se bloquea. ALguno que me diga detalladamente como podria evitarlo y quitarlo ?

Monitoriza buscando picos, timeouts, retardos y deja de resolver el dominio.
Necesitas conocer tu tráfico para bloquear conductas extrañas. Puedes montar varios servidores y cuando detectes el tráfico extraño levantas otro. Puedes subministrarle 2 servidores dns independientes a tus clientes. Cuando uno detecte tráfico malintencionado lo dejas offline y levantas el otro. Puedes levantarlo auto por ejemplo con webmin, wol, etc. Pásale de paso las ips desde las que recibes el ataque por si entran dentro de un rango. Podría ser tráfico que proviene de un ISP en concreto. Aunque lo usual es una botnet con ordenadores repartidos haciendo consultas de un lista. En el caso de que estén intentando resolver subdominios de un sitio puedes comentarlo en el segundo DNS que levantes para que no sea resolvido. Esta solución te sirve por si el atacante encontró tu DNS de forma automatizada o random. Puedes meter un server antes de tus servers DNS y usarlo de filtro para todos ellos. A parte debes configurarlos, exportar configuraciones, automatizar tareas y esas cosas. A mi me han hecho ataques de todo tipo xDDD. Si no te enciende quítale la alimentación al cacharro desenchufando el cable y ya te enciende.

También puedes contratacar y desarmarle la botnet, denunciarlo, o lo que veas. Conectate a alguno de los zombies después del ataque, descárgate el server de la botnet, correlo en una máquina, analiza tráfico y haz ingeniería inversa a ver que obtienes. Vas a tener que tirar bastante del hilo. También intenta localizar donde está alojada la descarga del server y el método de infección. Es otro de los diversos vectores de ataque.