[GTER] DNS queries for "." (ddos reflection attack)
Ricardo Rodrigues
rcr.listas at ig.com.br
Tue Jan 20 19:15:33 -02 2009
Cássio,
Veja esse link que acaba de sair na lista NANOG:
http://www.merit.edu/mail.archives/nanog/msg14429.html
Abs,
Ricardo
2009/1/20 casfre at gmail.com <casfre at gmail.com>:
> Pessoal,
>
>
> Iniciei uma discussão na MASOCH-L, mas hoje vi assuntos sobre
> DNS/DMZ tratatos aqui.
>
> Gostaria de saber se há outros passando pelo ataque descrito em
> [2]http://isc.sans.org/diary.html?storyid=5713&rss
>
> Já alterei minhas configurações do BIND e não há respostas para
> consultas recursivas, exceto para hosts autorizados.
>
> Antes os servidores já não respondiam a esse tipo de consulta, no
> entanto, não estavam usando views.
>
> Observei que, mesmo assim, como descrito naquela URL[2], ainda há
> uma resposta por parte de meus servidores(REFUSED). Como os IPs de
> origem são spoofados, a resposta acaba indo para quem não pediu. Em
> alguns casos, nem há rota para o IP de origem.
>
> Mesmo seguindo as recomendações do cert.br[1] ainda há uma
> resposta "REFUSED".
>
> Ainda não testei a sugestão de bloquear pacotes UDP DSTPORT 53
> com tamanho 45 [2], mas a única forma que achei de não responder à
> consulta foi bloquear o IP de origem.
>
> Alguém mais está passando por esse problema? Alguma sugestão?
>
> Obrigado.
>
> Cássio
>
> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
> [2]http://isc.sans.org/diary.html?storyid=5713&rss
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list