[GTER] DNS queries for "." (ddos reflection attack)

Henrique de Moraes Holschuh henrique.holschuh em ima.sp.gov.br
Terça Janeiro 20 23:19:04 BRST 2009


Ricardo Rodrigues wrote:
> Veja esse link que acaba de sair na lista NANOG:
> 
> http://www.merit.edu/mail.archives/nanog/msg14429.html

Não vi diferença (fora o filtro de bogons, que preferimos fazer nos 
roteadores de borda por aqui) se comparado às recomendações do 
registro.br para servidores DNS em [1]...

Ou seja, pelo jeito o bind é estupido demais para ignorar completamente 
pedidos de zonas que não possui, e precisa do truque nojento na firewall 
para evitar propagar *este* DDoS em específico (o próximo pode pedir 
algo meio diferente de ".", e escapar do filtro na firewall).

Será que a ISC vai ter a vergonha na cara de soltar um patch pro bind 
para podermos configurar ele para se fazer de moco nas views 
autoritativas não-recursivas?

>> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>> [2]http://isc.sans.org/diary.html?storyid=5713

-- 
Henrique de Moraes Holschuh <hmh em ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Projetos Especiais
TEL +55-19-3739-6055/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.



More information about the gter mailing list