[GTER] DNS queries for "." (ddos reflection attack)

Julião Braga juliao em braga.eti.br
Quarta Janeiro 21 09:24:46 BRST 2009


Somente para registro, o BIND está imune ao problema de queries ao ".".

O Unbound, igualmente, não responde a queries para ".".

O que significa, que o problema não é do BIND, mas sim de configuração ou a 
negligência em relação à importância dos servidores de DNS, na 
infraestrutura da Internet. O ISC, pelo que tudo indica, faz um bom trabalho 
respondendo, rapidamente,  aos problemas de segurança que são descobertos e 
que possam comprometer o BIND.

Claro, os outros servidores de DNS, em sua grande maioria, o fazem, também.

[]s, Julião

>
Não vi diferença (fora o filtro de bogons, que preferimos fazer nos
roteadores de borda por aqui) se comparado às recomendações do
registro.br para servidores DNS em [1]...

Ou seja, pelo jeito o bind é estupido demais para ignorar completamente
pedidos de zonas que não possui, e precisa do truque nojento na firewall
para evitar propagar *este* DDoS em específico (o próximo pode pedir
algo meio diferente de ".", e escapar do filtro na firewall).

Será que a ISC vai ter a vergonha na cara de soltar um patch pro bind
para podermos configurar ele para se fazer de moco nas views
autoritativas não-recursivas?

>> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>> [2]http://isc.sans.org/diary.html?storyid=5713

-- 
Henrique de Moraes Holschuh <hmh em ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Projetos Especiais
TEL +55-19-3739-6055/CEL +55-19-9293-9464
>




More information about the gter mailing list