[GTER] DNS queries for "." (ddos reflection attack)
casfre at gmail.com
casfre at gmail.com
Tue Jan 20 17:16:28 -02 2009
Pessoal,
Iniciei uma discussão na MASOCH-L, mas hoje vi assuntos sobre
DNS/DMZ tratatos aqui.
Gostaria de saber se há outros passando pelo ataque descrito em
[2]http://isc.sans.org/diary.html?storyid=5713&rss
Já alterei minhas configurações do BIND e não há respostas para
consultas recursivas, exceto para hosts autorizados.
Antes os servidores já não respondiam a esse tipo de consulta, no
entanto, não estavam usando views.
Observei que, mesmo assim, como descrito naquela URL[2], ainda há
uma resposta por parte de meus servidores(REFUSED). Como os IPs de
origem são spoofados, a resposta acaba indo para quem não pediu. Em
alguns casos, nem há rota para o IP de origem.
Mesmo seguindo as recomendações do cert.br[1] ainda há uma
resposta "REFUSED".
Ainda não testei a sugestão de bloquear pacotes UDP DSTPORT 53
com tamanho 45 [2], mas a única forma que achei de não responder à
consulta foi bloquear o IP de origem.
Alguém mais está passando por esse problema? Alguma sugestão?
Obrigado.
Cássio
[1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
[2]http://isc.sans.org/diary.html?storyid=5713&rss
More information about the gter
mailing list