[caiu] Ataque DoS DNS

Evandro Maciel ev.maciel em gmail.com
Segunda Novembro 25 15:24:42 BRST 2013


Sim, faça uma address list , chain forward ao inves de input e aceite (ou descarte) os pacotes de acordo com a address list.

O ip de origem pode mudar ja que a maioria desses ips são spoofados. No caso entao blackhole nao ajudaria muito tempo. 

Vc tem a regra básica de dropar pacotes inválidos ? 

PS: ficou offtopic, pode me consultar em pvt caso queira.

Att,
Evandro

Enviado por dispositivo móvel.

Em 25/11/2013, às 15:13, Victor Hugo Rebollo de Moura <victorhugormoura em gmail.com> escreveu:

> Já tinha esse filtro. Mais o problema é que o ataque foi nos meus clientes
> e não nos roteadores. Ou seja como src aparecia esse ip:53.
> Todos os clientes são AirGridM5. E dando um nmap -sU ipdocliente -p 53
> aparece como open. Será que fazendo o filtro com forward em vez de input
> resolveria? Apenas negando para os ips que realmente precisam?
> 
> Enviado via Samsung Galaxy S4
> Em 25/11/2013 14:54, "Jean Carlos Bartzen" <jean em deltatele.com.br> escreveu:
> 
>> isso resolve, mas se o seu cliente tiver hospedando algum site que
>> necessita consulta das zonas no servidor dele, será barrada.
>> 
>> 
>> Em 25 de novembro de 2013 14:45, adeilton albuquerque <
>> adeilton.info em hotmail.com> escreveu:
>> 
>>> faz um filtro pra bloquear entrada de DNS pela porta que recebe link, em
>>> todos roteadores que tem ip público:
>>> 
>>> ip  firewall filter add chain=input protocol=17 dst-port=53
>>> in-interface="entrada de link" action=drop
>>> 
>>> Já sofri esse ataque de DNS recursivo aqui tambem e essa foi minha
>> solução.
>>> 
>>>> Date: Mon, 25 Nov 2013 14:14:11 -0200
>>>> From: victorhugormoura em gmail.com
>>>> To: caiu em eng.registro.br
>>>> Subject: Re: [caiu] Ataque DoS DNS
>>>> 
>>>> Mikrotik
>>>> RB 1100AHx2
>>>> 
>>>> 
>>>> No dia 25 de Novembro de 2013 às 14:12, adeilton albuquerque <
>>>> adeilton.info em hotmail.com> escreveu:
>>>> 
>>>>> Seus servidores são MIKROTIK, ou CISCO ?
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>>> Date: Mon, 25 Nov 2013 14:01:22 -0200
>>>>>> From: victorhugormoura em gmail.com
>>>>>> To: caiu em eng.registro.br
>>>>>> Subject: [caiu] Ataque DoS DNS
>>>>>> 
>>>>>> Boa tarde,
>>>>>> 
>>>>>> Acabei de receber uma ataque do IP 92.63.108.91 no protocolo DNS
>>> direto
>>>>> em
>>>>>> meus clientes, isso fez meus roteadores a consumirem 100% de CPU  e
>>>>> causar
>>>>>> um lentidão muito grande na rede.
>>>>>> 
>>>>>> Fica a dica para quem quiser fazer blackhole.
>>>>>> 
>>>>>> 
>>>>>> 
>>>>>> *Victor Hugo R. Moura*
>>>>>> 
>>>>>> 
>>>>>> 
>>>>>> 
>>>>>> 
>>>>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified
>> Network
>>>>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
>>>>>> *Network Security Consulting*
>>>>>> 
>>>>>> *+55 18 9 9653-5921 (WhatsApp)*
>>>>>> *+55 18 9 8179-7100*
>>>>>> 
>>>>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com
>>> *
>>>>>> *(Gtalk)*
>>>>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
>>>>>> 
>>>>>> 
>>>>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
>>>> E-Mail
>>>>> 4:
>>>>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
>>>>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
>>>>>> 
>>>>>> *"Tudo é impossível até que se torne possível"*
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu em eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>> 
>>>>>> 
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>> 
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>> 
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>> 
>>>>> 
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>> 
>>>>> https://eng.registro.br/mailman/options/caiu
>>>> 
>>>> 
>>>> 
>>>> --
>>>> 
>>>> *Victor Hugo R. Moura*
>>>> 
>>>> 
>>>> 
>>>> 
>>>> 
>>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified Network
>>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
>>>> *Network Security Consulting*
>>>> 
>>>> *+55 18 9 9653-5921 (WhatsApp)*
>>>> *+55 18 9 8179-7100*
>>>> 
>>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com>*
>>>> *(Gtalk)*
>>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
>>>> 
>>>> 
>>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br>E-Mail
>>> 4:
>>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
>>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
>>>> 
>>>> *"Tudo é impossível até que se torne possível"*
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>> 
>>>> 
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>> 
>>>> https://eng.registro.br/mailman/options/caiu
>>> 
>>> _______________________________________________
>>> caiu mailing list
>>> caiu em eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>> 
>>> 
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>> 
>>> https://eng.registro.br/mailman/options/caiu
>> 
>> 
>> 
>> --
>> 
>> 
>> *Jean Carlos Bartzen*
>> 
>> *Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
>> F: (45) 3241-1747
>> *www.deltatele.com.br <http://www.deltatele.com.br>*
>> 
>> 
>> 
>> *Esta mensagem e qualquer arquivo transmitido anexo, pode
>> conter informação confidencial e/ou legalmente privilegiada.
>> Esta informação é direcionada exclusivamente ao destinatário.
>> Se você não for o destinatário ou a pessoa autorizada a receber esta
>> mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
>> qualquer ação baseada no conteúdo dessa informação, por ser estritamente
>> proibido. Se você recebeu esta mensagem por engano, por favor, avise
>> imediatamente o remetente respondendo o e-mail e em seguida apague a
>> mensagem. *
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>> 
>> 
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> 
>> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu


More information about the caiu mailing list