[GTER] DNS queries for "." (ddos reflection attack)

Rodrigo Montoro(Sp0oKeR) spooker at gmail.com
Tue Jan 20 23:31:07 -02 2009


Pessoal do Emerging Threats (http://www.emergingthreats.net) publicou
uma regra pra detecção no snort caso utilizem

alert udp any any -> $HOME_NET 53 (msg:"ET CURRENT_EVENTS NS query for
a single dot, possible ddos"; content:"|01 00 00 01 00 00 00 00 00 00
00 00 02 00 01|"; threshold:type limit, track by_src, count 1, seconds
120; classtype:attempted-dos;
reference:url,isc.sans.org/diary.html?storyid=5713; sid:2009030;
rev:1;)

Caso utilizem snort inline so mudar o alert para drop e voce
conseguira bloquear as queries on the fly .

[]z!

2009/1/20 Henrique de Moraes Holschuh <henrique.holschuh at ima.sp.gov.br>
>
> Ricardo Rodrigues wrote:
>>
>> Veja esse link que acaba de sair na lista NANOG:
>>
>> http://www.merit.edu/mail.archives/nanog/msg14429.html
>
> Não vi diferença (fora o filtro de bogons, que preferimos fazer nos roteadores de borda por aqui) se comparado às recomendações do registro.br para servidores DNS em [1]...
>
> Ou seja, pelo jeito o bind é estupido demais para ignorar completamente pedidos de zonas que não possui, e precisa do truque nojento na firewall para evitar propagar *este* DDoS em específico (o próximo pode pedir algo meio diferente de ".", e escapar do filtro na firewall).
>
> Será que a ISC vai ter a vergonha na cara de soltar um patch pro bind para podermos configurar ele para se fazer de moco nas views autoritativas não-recursivas?
>
>>> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>>> [2]http://isc.sans.org/diary.html?storyid=5713
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Projetos Especiais
> TEL +55-19-3739-6055/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



--
===========================
Rodrigo Montoro (Sp0oKeR)
http://www.spooker.com.br
http://www.snort.org.br
http://www.linkedin.com/in/spooker
===========================



More information about the gter mailing list