[GTER] DNS, Bind, Problemas

Frederico A C Neves fneves at registro.br
Thu Nov 30 12:15:34 -02 2006 

Daniel,

On Wed, Nov 29, 2006 at 10:03:54PM -0200, Daniel Dias Gonçalves wrote:
> Pessoal,
> 
> Tenho visto recentemente em vários grupos de discussões reclamações 
> referente a DNS, mais especificamente o Bind, são domínios que não 
> resolvem, DNS travando e até casos de FreeBSD travando silenciosamente 
> com grande suspeita de ser o DNS (Bind). Também tenho alguns servidores 
> FreeBSD com DNS (Bind 9.3.1, Bind 9.3.2) e enfrentei alguns problemas 
> como os mencionados acima. Sempre configuro o allow-query, recursion 
> para os ips da minha rede, e não sei prq cargas d'água estes servidores 
> que travaram estavão abertos para consultas, então configurei o 
> allow-query para os ips da minha rede e não tive mais problemas.

Você tomou uma das medidas mais adequadas para prevenção deste
ataque. Isto é efetivo pois agora é muito mais difícil um atacante
saber o que o seu servidor está consultando.

> Sairam dois advisories do Bind9 do FreeBSD a alguns meses, como pode 
> serem vistos nos links abaixo, mantenho todos meus servidores atualizados.
> http://security.freebsd.org/advisories/FreeBSD-SA-05:12.bind9.asc
> http://security.freebsd.org/advisories/FreeBSD-SA-06:20.bind.asc
> 
> Estou suspeitando que existe falhas no Bind que ainda não se tornaram 
> públicas, e pode existir alguns worms explorando esta falha.

Não são exatamente falhas do BIND mas sim do protocolo. Desde a época
do Alternic os ataques do tipo "Kashpureff" são publicamente
conhecidos.

Servidores recursivos que não fazem bom uso da seleção do Query-ID e
da porta de origem das consultas são facilmente comprometidos com esta
técnica.

O único servidor que atende 100% do standard atual e não é facilmente
explorado por este ataque é o bind 9 (9.3.2-p2). Outros servidores que
não são 100% compatíveis com o standard mas também tem boa resistência
a este tipo de ataque são o dnscache e o powerdns.

A melhor prevenção para isto é a separação de servidores autoritativos
de recursivos, e a abertura dos recursivos somente para os clientes
autorizados.

A solução definitiva para este tipo de ataque é DNSSEC. No próximo
GTER teremos algumas apresentações falando somente sobre este assunto.

...
> []s
> 
> -- 
> Daniel Dias Gonçalves

[]s
Fred

More information about the gter mailing list