[caiu] Ataque DoS DNS
Evandro Maciel
ev.maciel em gmail.com
Segunda Novembro 25 15:24:42 BRST 2013
Sim, faça uma address list , chain forward ao inves de input e aceite (ou descarte) os pacotes de acordo com a address list.
O ip de origem pode mudar ja que a maioria desses ips são spoofados. No caso entao blackhole nao ajudaria muito tempo.
Vc tem a regra básica de dropar pacotes inválidos ?
PS: ficou offtopic, pode me consultar em pvt caso queira.
Att,
Evandro
Enviado por dispositivo móvel.
Em 25/11/2013, às 15:13, Victor Hugo Rebollo de Moura <victorhugormoura em gmail.com> escreveu:
> Já tinha esse filtro. Mais o problema é que o ataque foi nos meus clientes
> e não nos roteadores. Ou seja como src aparecia esse ip:53.
> Todos os clientes são AirGridM5. E dando um nmap -sU ipdocliente -p 53
> aparece como open. Será que fazendo o filtro com forward em vez de input
> resolveria? Apenas negando para os ips que realmente precisam?
>
> Enviado via Samsung Galaxy S4
> Em 25/11/2013 14:54, "Jean Carlos Bartzen" <jean em deltatele.com.br> escreveu:
>
>> isso resolve, mas se o seu cliente tiver hospedando algum site que
>> necessita consulta das zonas no servidor dele, será barrada.
>>
>>
>> Em 25 de novembro de 2013 14:45, adeilton albuquerque <
>> adeilton.info em hotmail.com> escreveu:
>>
>>> faz um filtro pra bloquear entrada de DNS pela porta que recebe link, em
>>> todos roteadores que tem ip público:
>>>
>>> ip firewall filter add chain=input protocol=17 dst-port=53
>>> in-interface="entrada de link" action=drop
>>>
>>> Já sofri esse ataque de DNS recursivo aqui tambem e essa foi minha
>> solução.
>>>
>>>> Date: Mon, 25 Nov 2013 14:14:11 -0200
>>>> From: victorhugormoura em gmail.com
>>>> To: caiu em eng.registro.br
>>>> Subject: Re: [caiu] Ataque DoS DNS
>>>>
>>>> Mikrotik
>>>> RB 1100AHx2
>>>>
>>>>
>>>> No dia 25 de Novembro de 2013 às 14:12, adeilton albuquerque <
>>>> adeilton.info em hotmail.com> escreveu:
>>>>
>>>>> Seus servidores são MIKROTIK, ou CISCO ?
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>> Date: Mon, 25 Nov 2013 14:01:22 -0200
>>>>>> From: victorhugormoura em gmail.com
>>>>>> To: caiu em eng.registro.br
>>>>>> Subject: [caiu] Ataque DoS DNS
>>>>>>
>>>>>> Boa tarde,
>>>>>>
>>>>>> Acabei de receber uma ataque do IP 92.63.108.91 no protocolo DNS
>>> direto
>>>>> em
>>>>>> meus clientes, isso fez meus roteadores a consumirem 100% de CPU e
>>>>> causar
>>>>>> um lentidão muito grande na rede.
>>>>>>
>>>>>> Fica a dica para quem quiser fazer blackhole.
>>>>>>
>>>>>>
>>>>>>
>>>>>> *Victor Hugo R. Moura*
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified
>> Network
>>>>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
>>>>>> *Network Security Consulting*
>>>>>>
>>>>>> *+55 18 9 9653-5921 (WhatsApp)*
>>>>>> *+55 18 9 8179-7100*
>>>>>>
>>>>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com
>>> *
>>>>>> *(Gtalk)*
>>>>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
>>>>>>
>>>>>>
>>>>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
>>>> E-Mail
>>>>> 4:
>>>>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
>>>>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
>>>>>>
>>>>>> *"Tudo é impossível até que se torne possível"*
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu em eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>>
>>>>
>>>> --
>>>>
>>>> *Victor Hugo R. Moura*
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified Network
>>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
>>>> *Network Security Consulting*
>>>>
>>>> *+55 18 9 9653-5921 (WhatsApp)*
>>>> *+55 18 9 8179-7100*
>>>>
>>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com>*
>>>> *(Gtalk)*
>>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
>>>>
>>>>
>>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br>E-Mail
>>> 4:
>>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
>>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
>>>>
>>>> *"Tudo é impossível até que se torne possível"*
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>
>>> _______________________________________________
>>> caiu mailing list
>>> caiu em eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>
>>
>>
>> --
>>
>>
>> *Jean Carlos Bartzen*
>>
>> *Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
>> F: (45) 3241-1747
>> *www.deltatele.com.br <http://www.deltatele.com.br>*
>>
>>
>>
>> *Esta mensagem e qualquer arquivo transmitido anexo, pode
>> conter informação confidencial e/ou legalmente privilegiada.
>> Esta informação é direcionada exclusivamente ao destinatário.
>> Se você não for o destinatário ou a pessoa autorizada a receber esta
>> mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
>> qualquer ação baseada no conteúdo dessa informação, por ser estritamente
>> proibido. Se você recebeu esta mensagem por engano, por favor, avise
>> imediatamente o remetente respondendo o e-mail e em seguida apague a
>> mensagem. *
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
More information about the caiu
mailing list