[GTER] DNS queries for "." (ddos reflection attack)

Rubens Kuhl Jr. rubensk em gmail.com
Terça Janeiro 20 22:34:13 BRST 2009


É possível separar os autoritativos dos recursivos mesmo com o mesmo
número de máquinas físicas e lógicas, que é ter dois processos rodando
na mesma máquina, um autoritativo e outro recursivo, cada um com
binding para um IP diferente.

Se os dois processos forem BIND, você precisaria usar chroot para que
cada veja uma árvore de configuração distinta; porém, pode ser uma boa
oportunidade de manter seu atual servidor autoritativo e mudar o
recursivo para o Unbound (http://www.unbound.net).



Rubens

2009/1/20 casfre em gmail.com <casfre em gmail.com>:
> Ricardo,
>
> 2009/1/20 Ricardo Rodrigues <rcr.listas em ig.com.br>:
>> Cássio,
>>
>> Veja esse link que acaba de sair na lista NANOG:
>>
>> http://www.merit.edu/mail.archives/nanog/msg14429.html
>
>     Muito bom. Interessante é que eu tinha reportado o problema para
> o suporte da isprime.com, no dia 19/01/2009, mas não me responderam
> com tantos detalhes. :D
>
>     Eu usei o "artifício" de bloquear os pacotes udp com length 45 e
> porta 53, por enquanto.
>
>     Estou lidando agora com a configuração de views, seguindo,
> inclusive, aquele documento que sugeriram no post da nanog.
>
>     No entanto, vou ter que mudar minha estratégia pois, um de meus
> servidores DNS (slave) precisa resolver nomes de domínios para os
> quais ele é autoritativo e, na configuração sugerida naquele site (a
> menos que eu tenha feito caquinha) isso não funciona.
>
>     Estou analisando seriamente a possibilidade de isolar
> completamente meus autoritativos dos recursivos.
>
>     Agradeço pela atenção.
>
> Cássio
>>
>>
>> 2009/1/20 casfre em gmail.com <casfre em gmail.com>:
>>> Pessoal,
>>>
>>>
>>>     Iniciei uma discussão na MASOCH-L, mas hoje vi assuntos sobre
>>> DNS/DMZ tratatos aqui.
>>>
>>>     Gostaria de saber se há outros passando pelo ataque descrito em
>>> [2]http://isc.sans.org/diary.html?storyid=5713&rss
>>>
>>>     Já alterei minhas configurações do BIND e não há respostas para
>>> consultas recursivas, exceto para hosts autorizados.
>>>
>>>     Antes os servidores já não respondiam a esse tipo de consulta, no
>>> entanto, não estavam usando views.
>>>
>>>     Observei que, mesmo assim, como descrito naquela URL[2], ainda há
>>> uma resposta por parte de meus servidores(REFUSED). Como os IPs de
>>> origem são spoofados, a resposta acaba indo para quem não pediu. Em
>>> alguns casos, nem há rota para o IP de origem.
>>>
>>>     Mesmo seguindo as recomendações do cert.br[1] ainda há uma
>>> resposta "REFUSED".
>>>
>>>     Ainda não testei a sugestão de bloquear pacotes UDP DSTPORT 53
>>> com tamanho 45 [2], mas a única forma que achei de não responder à
>>> consulta foi bloquear o IP de origem.
>>>
>>>     Alguém mais está passando por esse problema? Alguma sugestão?
>>>
>>>     Obrigado.
>>>
>>> Cássio
>>>
>>> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>>> [2]http://isc.sans.org/diary.html?storyid=5713&rss
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list