[caiu] Ataque DoS DNS

Lucas Willian Bocchi lucas.bocchi em gmail.com
Segunda Novembro 25 15:15:40 BRST 2013


Negue pra todo mundo.
Teus clientes tem necessidade de ter o dns aberto? Algum deles tem
site hospedado dentro da tua rede?
Se não tiver bloqueia as conexões com destino aos teus ips na porta 53 e boa

Em 25 de novembro de 2013 15:13, Victor Hugo Rebollo de Moura
<victorhugormoura em gmail.com> escreveu:
> Já tinha esse filtro. Mais o problema é que o ataque foi nos meus clientes
> e não nos roteadores. Ou seja como src aparecia esse ip:53.
> Todos os clientes são AirGridM5. E dando um nmap -sU ipdocliente -p 53
> aparece como open. Será que fazendo o filtro com forward em vez de input
> resolveria? Apenas negando para os ips que realmente precisam?
>
> Enviado via Samsung Galaxy S4
> Em 25/11/2013 14:54, "Jean Carlos Bartzen" <jean em deltatele.com.br> escreveu:
>
>> isso resolve, mas se o seu cliente tiver hospedando algum site que
>> necessita consulta das zonas no servidor dele, será barrada.
>>
>>
>> Em 25 de novembro de 2013 14:45, adeilton albuquerque <
>> adeilton.info em hotmail.com> escreveu:
>>
>> > faz um filtro pra bloquear entrada de DNS pela porta que recebe link, em
>> > todos roteadores que tem ip público:
>> >
>> > ip  firewall filter add chain=input protocol=17 dst-port=53
>> > in-interface="entrada de link" action=drop
>> >
>> > Já sofri esse ataque de DNS recursivo aqui tambem e essa foi minha
>> solução.
>> >
>> > > Date: Mon, 25 Nov 2013 14:14:11 -0200
>> > > From: victorhugormoura em gmail.com
>> > > To: caiu em eng.registro.br
>> > > Subject: Re: [caiu] Ataque DoS DNS
>> > >
>> > > Mikrotik
>> > > RB 1100AHx2
>> > >
>> > >
>> > > No dia 25 de Novembro de 2013 às 14:12, adeilton albuquerque <
>> > > adeilton.info em hotmail.com> escreveu:
>> > >
>> > > > Seus servidores são MIKROTIK, ou CISCO ?
>> > > >
>> > > >
>> > > >
>> > > >
>> > > > > Date: Mon, 25 Nov 2013 14:01:22 -0200
>> > > > > From: victorhugormoura em gmail.com
>> > > > > To: caiu em eng.registro.br
>> > > > > Subject: [caiu] Ataque DoS DNS
>> > > > >
>> > > > > Boa tarde,
>> > > > >
>> > > > > Acabei de receber uma ataque do IP 92.63.108.91 no protocolo DNS
>> > direto
>> > > > em
>> > > > > meus clientes, isso fez meus roteadores a consumirem 100% de CPU  e
>> > > > causar
>> > > > > um lentidão muito grande na rede.
>> > > > >
>> > > > > Fica a dica para quem quiser fazer blackhole.
>> > > > >
>> > > > >
>> > > > >
>> > > > > *Victor Hugo R. Moura*
>> > > > >
>> > > > >
>> > > > >
>> > > > >
>> > > > >
>> > > > > *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified
>> Network
>> > > > > AssociateLinux Professional InstituteMikroTik RouterOS Solution*
>> > > > > *Network Security Consulting*
>> > > > >
>> > > > > *+55 18 9 9653-5921 (WhatsApp)*
>> > > > > *+55 18 9 8179-7100*
>> > > > >
>> > > > > *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com
>> >*
>> > > > > *(Gtalk)*
>> > > > > *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
>> > > > >
>> > > > >
>> > > > > *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
>> > >E-Mail
>> > > > 4:
>> > > > > victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
>> > > > > 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
>> > > > >
>> > > > > *"Tudo é impossível até que se torne possível"*
>> > > > > _______________________________________________
>> > > > > caiu mailing list
>> > > > > caiu em eng.registro.br
>> > > > > https://eng.registro.br/mailman/listinfo/caiu
>> > > > >
>> > > > >
>> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > > > >
>> > > > > https://eng.registro.br/mailman/options/caiu
>> > > >
>> > > > _______________________________________________
>> > > > caiu mailing list
>> > > > caiu em eng.registro.br
>> > > > https://eng.registro.br/mailman/listinfo/caiu
>> > > >
>> > > >
>> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > > >
>> > > > https://eng.registro.br/mailman/options/caiu
>> > > >
>> > >
>> > >
>> > >
>> > > --
>> > >
>> > > *Victor Hugo R. Moura*
>> > >
>> > >
>> > >
>> > >
>> > >
>> > > *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified Network
>> > > AssociateLinux Professional InstituteMikroTik RouterOS Solution*
>> > > *Network Security Consulting*
>> > >
>> > > *+55 18 9 9653-5921 (WhatsApp)*
>> > > *+55 18 9 8179-7100*
>> > >
>> > > *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com>*
>> > > *(Gtalk)*
>> > > *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
>> > >
>> > >
>> > > *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br>E-Mail
>> > 4:
>> > > victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
>> > > 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
>> > >
>> > > *"Tudo é impossível até que se torne possível"*
>> > > _______________________________________________
>> > > caiu mailing list
>> > > caiu em eng.registro.br
>> > > https://eng.registro.br/mailman/listinfo/caiu
>> > >
>> > >
>> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > >
>> > > https://eng.registro.br/mailman/options/caiu
>> >
>> > _______________________________________________
>> > caiu mailing list
>> > caiu em eng.registro.br
>> > https://eng.registro.br/mailman/listinfo/caiu
>> >
>> >
>> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >
>> > https://eng.registro.br/mailman/options/caiu
>> >
>>
>>
>>
>> --
>>
>>
>> *Jean Carlos Bartzen*
>>
>> *Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
>> F: (45) 3241-1747
>> *www.deltatele.com.br <http://www.deltatele.com.br>*
>>
>>
>>
>> *Esta mensagem e qualquer arquivo transmitido anexo, pode
>> conter informação confidencial e/ou legalmente privilegiada.
>> Esta informação é direcionada exclusivamente ao destinatário.
>> Se você não for o destinatário ou a pessoa autorizada a receber esta
>> mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
>> qualquer ação baseada no conteúdo dessa informação, por ser estritamente
>> proibido. Se você recebeu esta mensagem por engano, por favor, avise
>> imediatamente o remetente respondendo o e-mail e em seguida apague a
>> mensagem. *
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu


More information about the caiu mailing list