[GTER] DNS queries for "." (ddos reflection attack)
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Tue Jan 20 23:19:04 -02 2009
Ricardo Rodrigues wrote:
> Veja esse link que acaba de sair na lista NANOG:
>
> http://www.merit.edu/mail.archives/nanog/msg14429.html
Não vi diferença (fora o filtro de bogons, que preferimos fazer nos
roteadores de borda por aqui) se comparado às recomendações do
registro.br para servidores DNS em [1]...
Ou seja, pelo jeito o bind é estupido demais para ignorar completamente
pedidos de zonas que não possui, e precisa do truque nojento na firewall
para evitar propagar *este* DDoS em específico (o próximo pode pedir
algo meio diferente de ".", e escapar do filtro na firewall).
Será que a ISC vai ter a vergonha na cara de soltar um patch pro bind
para podermos configurar ele para se fazer de moco nas views
autoritativas não-recursivas?
>> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>> [2]http://isc.sans.org/diary.html?storyid=5713
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Projetos Especiais
TEL +55-19-3739-6055/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the gter
mailing list