[caiu] Ataque DoS DNS
Jean Carlos Bartzen
jean em deltatele.com.br
Segunda Novembro 25 15:29:59 BRST 2013
Se os clientes não tem necessidade de resolver nomes para seus dominios,
drope no firewall. Por ex:
bloco pppoe 200.200.200.0/24
/ip firewall filter
add action=drop chain=forward protocol=tcp \
src-address=200.200.200.0/24 src-port=53
add action=drop chain=forward protocol=udp \
src-address=200.200.200.0/24 src-port=53
Em 25 de novembro de 2013 15:24, Evandro Maciel <ev.maciel em gmail.com>escreveu:
> Sim, faça uma address list , chain forward ao inves de input e aceite (ou
> descarte) os pacotes de acordo com a address list.
>
> O ip de origem pode mudar ja que a maioria desses ips são spoofados. No
> caso entao blackhole nao ajudaria muito tempo.
>
> Vc tem a regra básica de dropar pacotes inválidos ?
>
> PS: ficou offtopic, pode me consultar em pvt caso queira.
>
> Att,
> Evandro
>
> Enviado por dispositivo móvel.
>
> Em 25/11/2013, às 15:13, Victor Hugo Rebollo de Moura <
> victorhugormoura em gmail.com> escreveu:
>
> > Já tinha esse filtro. Mais o problema é que o ataque foi nos meus
> clientes
> > e não nos roteadores. Ou seja como src aparecia esse ip:53.
> > Todos os clientes são AirGridM5. E dando um nmap -sU ipdocliente -p 53
> > aparece como open. Será que fazendo o filtro com forward em vez de input
> > resolveria? Apenas negando para os ips que realmente precisam?
> >
> > Enviado via Samsung Galaxy S4
> > Em 25/11/2013 14:54, "Jean Carlos Bartzen" <jean em deltatele.com.br>
> escreveu:
> >
> >> isso resolve, mas se o seu cliente tiver hospedando algum site que
> >> necessita consulta das zonas no servidor dele, será barrada.
> >>
> >>
> >> Em 25 de novembro de 2013 14:45, adeilton albuquerque <
> >> adeilton.info em hotmail.com> escreveu:
> >>
> >>> faz um filtro pra bloquear entrada de DNS pela porta que recebe link,
> em
> >>> todos roteadores que tem ip público:
> >>>
> >>> ip firewall filter add chain=input protocol=17 dst-port=53
> >>> in-interface="entrada de link" action=drop
> >>>
> >>> Já sofri esse ataque de DNS recursivo aqui tambem e essa foi minha
> >> solução.
> >>>
> >>>> Date: Mon, 25 Nov 2013 14:14:11 -0200
> >>>> From: victorhugormoura em gmail.com
> >>>> To: caiu em eng.registro.br
> >>>> Subject: Re: [caiu] Ataque DoS DNS
> >>>>
> >>>> Mikrotik
> >>>> RB 1100AHx2
> >>>>
> >>>>
> >>>> No dia 25 de Novembro de 2013 às 14:12, adeilton albuquerque <
> >>>> adeilton.info em hotmail.com> escreveu:
> >>>>
> >>>>> Seus servidores são MIKROTIK, ou CISCO ?
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>> Date: Mon, 25 Nov 2013 14:01:22 -0200
> >>>>>> From: victorhugormoura em gmail.com
> >>>>>> To: caiu em eng.registro.br
> >>>>>> Subject: [caiu] Ataque DoS DNS
> >>>>>>
> >>>>>> Boa tarde,
> >>>>>>
> >>>>>> Acabei de receber uma ataque do IP 92.63.108.91 no protocolo DNS
> >>> direto
> >>>>> em
> >>>>>> meus clientes, isso fez meus roteadores a consumirem 100% de CPU e
> >>>>> causar
> >>>>>> um lentidão muito grande na rede.
> >>>>>>
> >>>>>> Fica a dica para quem quiser fazer blackhole.
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> *Victor Hugo R. Moura*
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified
> >> Network
> >>>>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
> >>>>>> *Network Security Consulting*
> >>>>>>
> >>>>>> *+55 18 9 9653-5921 (WhatsApp)*
> >>>>>> *+55 18 9 8179-7100*
> >>>>>>
> >>>>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com
> >>> *
> >>>>>> *(Gtalk)*
> >>>>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
> >>>>>>
> >>>>>>
> >>>>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
> >>>> E-Mail
> >>>>> 4:
> >>>>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
> >>>>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
> >>>>>>
> >>>>>> *"Tudo é impossível até que se torne possível"*
> >>>>>> _______________________________________________
> >>>>>> caiu mailing list
> >>>>>> caiu em eng.registro.br
> >>>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>>
> >>>>>>
> >>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>>
> >>>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>
> >>>>> _______________________________________________
> >>>>> caiu mailing list
> >>>>> caiu em eng.registro.br
> >>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>
> >>>>>
> >>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>
> >>>>> https://eng.registro.br/mailman/options/caiu
> >>>>
> >>>>
> >>>>
> >>>> --
> >>>>
> >>>> *Victor Hugo R. Moura*
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified Network
> >>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
> >>>> *Network Security Consulting*
> >>>>
> >>>> *+55 18 9 9653-5921 (WhatsApp)*
> >>>> *+55 18 9 8179-7100*
> >>>>
> >>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com>*
> >>>> *(Gtalk)*
> >>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
> >>>>
> >>>>
> >>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
> >E-Mail
> >>> 4:
> >>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
> >>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
> >>>>
> >>>> *"Tudo é impossível até que se torne possível"*
> >>>> _______________________________________________
> >>>> caiu mailing list
> >>>> caiu em eng.registro.br
> >>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>
> >>>>
> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>
> >>>> https://eng.registro.br/mailman/options/caiu
> >>>
> >>> _______________________________________________
> >>> caiu mailing list
> >>> caiu em eng.registro.br
> >>> https://eng.registro.br/mailman/listinfo/caiu
> >>>
> >>>
> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>
> >>> https://eng.registro.br/mailman/options/caiu
> >>
> >>
> >>
> >> --
> >>
> >>
> >> *Jean Carlos Bartzen*
> >>
> >> *Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
> >> F: (45) 3241-1747
> >> *www.deltatele.com.br <http://www.deltatele.com.br>*
> >>
> >>
> >>
> >> *Esta mensagem e qualquer arquivo transmitido anexo, pode
> >> conter informação confidencial e/ou legalmente privilegiada.
> >> Esta informação é direcionada exclusivamente ao destinatário.
> >> Se você não for o destinatário ou a pessoa autorizada a receber esta
> >> mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
> >> qualquer ação baseada no conteúdo dessa informação, por ser estritamente
> >> proibido. Se você recebeu esta mensagem por engano, por favor, avise
> >> imediatamente o remetente respondendo o e-mail e em seguida apague a
> >> mensagem. *
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
*Jean Carlos Bartzen*
*Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
F: (45) 3241-1747
*www.deltatele.com.br <http://www.deltatele.com.br>*
*Esta mensagem e qualquer arquivo transmitido anexo, pode
conter informação confidencial e/ou legalmente privilegiada.
Esta informação é direcionada exclusivamente ao destinatário.
Se você não for o destinatário ou a pessoa autorizada a receber esta
mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
qualquer ação baseada no conteúdo dessa informação, por ser estritamente
proibido. Se você recebeu esta mensagem por engano, por favor, avise
imediatamente o remetente respondendo o e-mail e em seguida apague a
mensagem. *
More information about the caiu
mailing list