[GTER] DNS queries for "." (ddos reflection attack)

casfre at gmail.com casfre at gmail.com
Tue Jan 20 19:36:11 -02 2009


Ricardo,

2009/1/20 Ricardo Rodrigues <rcr.listas at ig.com.br>:
> Cássio,
>
> Veja esse link que acaba de sair na lista NANOG:
>
> http://www.merit.edu/mail.archives/nanog/msg14429.html

     Muito bom. Interessante é que eu tinha reportado o problema para
o suporte da isprime.com, no dia 19/01/2009, mas não me responderam
com tantos detalhes. :D

     Eu usei o "artifício" de bloquear os pacotes udp com length 45 e
porta 53, por enquanto.

     Estou lidando agora com a configuração de views, seguindo,
inclusive, aquele documento que sugeriram no post da nanog.

     No entanto, vou ter que mudar minha estratégia pois, um de meus
servidores DNS (slave) precisa resolver nomes de domínios para os
quais ele é autoritativo e, na configuração sugerida naquele site (a
menos que eu tenha feito caquinha) isso não funciona.

     Estou analisando seriamente a possibilidade de isolar
completamente meus autoritativos dos recursivos.

     Agradeço pela atenção.

Cássio
>
>
> 2009/1/20 casfre at gmail.com <casfre at gmail.com>:
>> Pessoal,
>>
>>
>>     Iniciei uma discussão na MASOCH-L, mas hoje vi assuntos sobre
>> DNS/DMZ tratatos aqui.
>>
>>     Gostaria de saber se há outros passando pelo ataque descrito em
>> [2]http://isc.sans.org/diary.html?storyid=5713&rss
>>
>>     Já alterei minhas configurações do BIND e não há respostas para
>> consultas recursivas, exceto para hosts autorizados.
>>
>>     Antes os servidores já não respondiam a esse tipo de consulta, no
>> entanto, não estavam usando views.
>>
>>     Observei que, mesmo assim, como descrito naquela URL[2], ainda há
>> uma resposta por parte de meus servidores(REFUSED). Como os IPs de
>> origem são spoofados, a resposta acaba indo para quem não pediu. Em
>> alguns casos, nem há rota para o IP de origem.
>>
>>     Mesmo seguindo as recomendações do cert.br[1] ainda há uma
>> resposta "REFUSED".
>>
>>     Ainda não testei a sugestão de bloquear pacotes UDP DSTPORT 53
>> com tamanho 45 [2], mas a única forma que achei de não responder à
>> consulta foi bloquear o IP de origem.
>>
>>     Alguém mais está passando por esse problema? Alguma sugestão?
>>
>>     Obrigado.
>>
>> Cássio
>>
>> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>> [2]http://isc.sans.org/diary.html?storyid=5713&rss



More information about the gter mailing list