[GTER] DNS queries for "." (ddos reflection attack)

Ricardo Rodrigues rcr.listas em ig.com.br
Terça Janeiro 20 19:15:33 BRST 2009


Cássio,

Veja esse link que acaba de sair na lista NANOG:

http://www.merit.edu/mail.archives/nanog/msg14429.html

Abs,
Ricardo



2009/1/20 casfre em gmail.com <casfre em gmail.com>:
> Pessoal,
>
>
>     Iniciei uma discussão na MASOCH-L, mas hoje vi assuntos sobre
> DNS/DMZ tratatos aqui.
>
>     Gostaria de saber se há outros passando pelo ataque descrito em
> [2]http://isc.sans.org/diary.html?storyid=5713&rss
>
>     Já alterei minhas configurações do BIND e não há respostas para
> consultas recursivas, exceto para hosts autorizados.
>
>     Antes os servidores já não respondiam a esse tipo de consulta, no
> entanto, não estavam usando views.
>
>     Observei que, mesmo assim, como descrito naquela URL[2], ainda há
> uma resposta por parte de meus servidores(REFUSED). Como os IPs de
> origem são spoofados, a resposta acaba indo para quem não pediu. Em
> alguns casos, nem há rota para o IP de origem.
>
>     Mesmo seguindo as recomendações do cert.br[1] ainda há uma
> resposta "REFUSED".
>
>     Ainda não testei a sugestão de bloquear pacotes UDP DSTPORT 53
> com tamanho 45 [2], mas a única forma que achei de não responder à
> consulta foi bloquear o IP de origem.
>
>     Alguém mais está passando por esse problema? Alguma sugestão?
>
>     Obrigado.
>
> Cássio
>
> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
> [2]http://isc.sans.org/diary.html?storyid=5713&rss
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list