[GTER] DNS queries for "." (ddos reflection attack)

casfre at gmail.com casfre at gmail.com
Wed Jan 21 10:44:13 -02 2009 

Rubens,

2009/1/20 Rubens Kuhl Jr. <rubensk at gmail.com>:
> É possível separar os autoritativos dos recursivos mesmo com o mesmo
> número de máquinas físicas e lógicas, que é ter dois processos rodando
> na mesma máquina, um autoritativo e outro recursivo, cada um com
> binding para um IP diferente.

     Boa lembrança e boa alternativa.

> Se os dois processos forem BIND, você precisaria usar chroot para que
> cada veja uma árvore de configuração distinta; porém, pode ser uma boa
> oportunidade de manter seu atual servidor autoritativo e mudar o
> recursivo para o Unbound (http://www.unbound.net).

     Já iniciei testes com o Unbound (ainda lendo documentação e
howtos oficiais) e meus BIND já usam chroot, então, meio caminho
andado.

     Até o momento, no entanto, para esse ddos em questão, essa
separação não resolveria o caso, pois o BIND ainda responde com o
REFUSED para a consulta em questão (ou então fiz caquinha).

     Obrigado pelas idéias.

Cássio

> 2009/1/20 casfre at gmail.com <casfre at gmail.com>:
>> Ricardo,
>>
>> 2009/1/20 Ricardo Rodrigues <rcr.listas at ig.com.br>:
>>> Cássio,
>>>
>>> Veja esse link que acaba de sair na lista NANOG:
>>>
>>> http://www.merit.edu/mail.archives/nanog/msg14429.html
>>
>>     Muito bom. Interessante é que eu tinha reportado o problema para
>> o suporte da isprime.com, no dia 19/01/2009, mas não me responderam
>> com tantos detalhes. :D
>>
>>     Eu usei o "artifício" de bloquear os pacotes udp com length 45 e
>> porta 53, por enquanto.
>>
>>     Estou lidando agora com a configuração de views, seguindo,
>> inclusive, aquele documento que sugeriram no post da nanog.
>>
>>     No entanto, vou ter que mudar minha estratégia pois, um de meus
>> servidores DNS (slave) precisa resolver nomes de domínios para os
>> quais ele é autoritativo e, na configuração sugerida naquele site (a
>> menos que eu tenha feito caquinha) isso não funciona.
>>
>>     Estou analisando seriamente a possibilidade de isolar
>> completamente meus autoritativos dos recursivos.
>>
>>     Agradeço pela atenção.
>>
>> Cássio
>>>
>>>
>>> 2009/1/20 casfre at gmail.com <casfre at gmail.com>:
>>>> Pessoal,
>>>>
>>>>
>>>>     Iniciei uma discussão na MASOCH-L, mas hoje vi assuntos sobre
>>>> DNS/DMZ tratatos aqui.
>>>>
>>>>     Gostaria de saber se há outros passando pelo ataque descrito em
>>>> [2]http://isc.sans.org/diary.html?storyid=5713&rss
>>>>
>>>>     Já alterei minhas configurações do BIND e não há respostas para
>>>> consultas recursivas, exceto para hosts autorizados.
>>>>
>>>>     Antes os servidores já não respondiam a esse tipo de consulta, no
>>>> entanto, não estavam usando views.
>>>>
>>>>     Observei que, mesmo assim, como descrito naquela URL[2], ainda há
>>>> uma resposta por parte de meus servidores(REFUSED). Como os IPs de
>>>> origem são spoofados, a resposta acaba indo para quem não pediu. Em
>>>> alguns casos, nem há rota para o IP de origem.
>>>>
>>>>     Mesmo seguindo as recomendações do cert.br[1] ainda há uma
>>>> resposta "REFUSED".
>>>>
>>>>     Ainda não testei a sugestão de bloquear pacotes UDP DSTPORT 53
>>>> com tamanho 45 [2], mas a única forma que achei de não responder à
>>>> consulta foi bloquear o IP de origem.
>>>>
>>>>     Alguém mais está passando por esse problema? Alguma sugestão?
>>>>
>>>>     Obrigado.
>>>>
>>>> Cássio
>>>>
>>>> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>>>> [2]http://isc.sans.org/diary.html?storyid=5713&rss

More information about the gter mailing list