[GTER] DNS queries for "." (ddos reflection attack)

[casfre at gmail.com]

Pessoal,


     Iniciei uma discussão na MASOCH-L, mas hoje vi assuntos sobre
DNS/DMZ tratatos aqui.

     Gostaria de saber se há outros passando pelo ataque descrito em
[2]http://isc.sans.org/diary.html?storyid=5713&rss

     Já alterei minhas configurações do BIND e não há respostas para
consultas recursivas, exceto para hosts autorizados.

     Antes os servidores já não respondiam a esse tipo de consulta, no
entanto, não estavam usando views.

     Observei que, mesmo assim, como descrito naquela URL[2], ainda há
uma resposta por parte de meus servidores(REFUSED). Como os IPs de
origem são spoofados, a resposta acaba indo para quem não pediu. Em
alguns casos, nem há rota para o IP de origem.

     Mesmo seguindo as recomendações do cert.br[1] ainda há uma
resposta "REFUSED".

     Ainda não testei a sugestão de bloquear pacotes UDP DSTPORT 53
com tamanho 45 [2], mas a única forma que achei de não responder à
consulta foi bloquear o IP de origem.

     Alguém mais está passando por esse problema? Alguma sugestão?

     Obrigado.

Cássio

[1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
[2]http://isc.sans.org/diary.html?storyid=5713&rss