[caiu] Ataque DoS DNS

Raufer Informatica - Suporte suporte em raufer.com.br
Segunda Novembro 25 15:33:34 BRST 2013


Victor,

    A implementação do Linux nos equipamentos Ubiquiti é extremamente 
desleixada no quesito segurança.
    Certamente a falha é nas CPEs de seus clientes e a solução descrita por 
você resolverá o problema.
    Quanto a deixar forward de DNS para clientes que "realmente precisem", 
defina antes o que é esse "precisar", que servidor DNS seu cliente possui em 
sua rede local, se suas consultas de DNS precisam realmente "sair para o 
mundo", e se o uso dos servidores de seu provedor já não é solução 
suficiente. Muitos técnicos de TI são autoproclamados, ou vieram de brinde 
num Mac Lanche Feliz, e gostam de implementar "coisas" mais por curiosidade 
ou outros motivos menos inteligentes do que pela praticidade e segurança.
    Além disso, não recomendo utilizar o servidor DNS do RouterOS. Prefira 
um servidor Linux abaixo dele, com o BIND bem configurado.

[ ]'s,

Salomão D. Martyni Oldenburg
Analista de Suporte
Raufer Internetworking
suporte em raufer.com.br
www.raufer.com.br
Fone: 55 51 3559-4747
Skype: salomao.oldenburg
-----Mensagem Original----- 
From: Victor Hugo Rebollo de Moura
Sent: Monday, November 25, 2013 3:13 PM
To: Lista das indisponibilidades da Internet brasileira
Subject: Re: [caiu] Ataque DoS DNS

Já tinha esse filtro. Mais o problema é que o ataque foi nos meus clientes
e não nos roteadores. Ou seja como src aparecia esse ip:53.
Todos os clientes são AirGridM5. E dando um nmap -sU ipdocliente -p 53
aparece como open. Será que fazendo o filtro com forward em vez de input
resolveria? Apenas negando para os ips que realmente precisam?

Enviado via Samsung Galaxy S4
Em 25/11/2013 14:54, "Jean Carlos Bartzen" <jean em deltatele.com.br> escreveu:

> isso resolve, mas se o seu cliente tiver hospedando algum site que
> necessita consulta das zonas no servidor dele, será barrada.
>
>
> Em 25 de novembro de 2013 14:45, adeilton albuquerque <
> adeilton.info em hotmail.com> escreveu:
>
> > faz um filtro pra bloquear entrada de DNS pela porta que recebe link, em
> > todos roteadores que tem ip público:
> >
> > ip  firewall filter add chain=input protocol=17 dst-port=53
> > in-interface="entrada de link" action=drop
> >
> > Já sofri esse ataque de DNS recursivo aqui tambem e essa foi minha
> solução.
> >
> > > Date: Mon, 25 Nov 2013 14:14:11 -0200
> > > From: victorhugormoura em gmail.com
> > > To: caiu em eng.registro.br
> > > Subject: Re: [caiu] Ataque DoS DNS
> > >
> > > Mikrotik
> > > RB 1100AHx2
> > >
> > >
> > > No dia 25 de Novembro de 2013 às 14:12, adeilton albuquerque <
> > > adeilton.info em hotmail.com> escreveu:
> > >
> > > > Seus servidores são MIKROTIK, ou CISCO ?
> > > >
> > > >
> > > >
> > > >
> > > > > Date: Mon, 25 Nov 2013 14:01:22 -0200
> > > > > From: victorhugormoura em gmail.com
> > > > > To: caiu em eng.registro.br
> > > > > Subject: [caiu] Ataque DoS DNS
> > > > >
> > > > > Boa tarde,
> > > > >
> > > > > Acabei de receber uma ataque do IP 92.63.108.91 no protocolo DNS
> > direto
> > > > em
> > > > > meus clientes, isso fez meus roteadores a consumirem 100% de CPU 
> > > > > e
> > > > causar
> > > > > um lentidão muito grande na rede.
> > > > >
> > > > > Fica a dica para quem quiser fazer blackhole.
> > > > >
> > > > >
> > > > >
> > > > > *Victor Hugo R. Moura*
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified
> Network
> > > > > AssociateLinux Professional InstituteMikroTik RouterOS Solution*
> > > > > *Network Security Consulting*
> > > > >
> > > > > *+55 18 9 9653-5921 (WhatsApp)*
> > > > > *+55 18 9 8179-7100*
> > > > >
> > > > > *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com
> >*
> > > > > *(Gtalk)*
> > > > > *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
> > > > >
> > > > >
> > > > > *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
> > >E-Mail
> > > > 4:
> > > > > victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
> > > > > 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
> > > > >
> > > > > *"Tudo é impossível até que se torne possível"*
> > > > > _______________________________________________
> > > > > caiu mailing list
> > > > > caiu em eng.registro.br
> > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > >
> > > > >
> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >
> > > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > >
> > >
> > >
> > > --
> > >
> > > *Victor Hugo R. Moura*
> > >
> > >
> > >
> > >
> > >
> > > *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified Network
> > > AssociateLinux Professional InstituteMikroTik RouterOS Solution*
> > > *Network Security Consulting*
> > >
> > > *+55 18 9 9653-5921 (WhatsApp)*
> > > *+55 18 9 8179-7100*
> > >
> > > *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com>*
> > > *(Gtalk)*
> > > *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
> > >
> > >
> > > *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br>E-Mail
> > 4:
> > > victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
> > > 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
> > >
> > > *"Tudo é impossível até que se torne possível"*
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
>
>
>
> --
>
>
> *Jean Carlos Bartzen*
>
> *Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
> F: (45) 3241-1747
> *www.deltatele.com.br <http://www.deltatele.com.br>*
>
>
>
> *Esta mensagem e qualquer arquivo transmitido anexo, pode
> conter informação confidencial e/ou legalmente privilegiada.
> Esta informação é direcionada exclusivamente ao destinatário.
> Se você não for o destinatário ou a pessoa autorizada a receber esta
> mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
> qualquer ação baseada no conteúdo dessa informação, por ser estritamente
> proibido. Se você recebeu esta mensagem por engano, por favor, avise
> imediatamente o remetente respondendo o e-mail e em seguida apague a
> mensagem. *
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu


--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu 



More information about the caiu mailing list