[GTER] DNS queries for "." (ddos reflection attack)
Julião Braga
juliao at braga.eti.br
Wed Jan 21 11:26:51 -02 2009
Cássio,
O modelo de views do artigo abaixo resolve o problema de negar a querie para
".".
Adicione a ele os recursos de DNSSEC não incluídos no view recursivo. E
eventuais variações inerentes à sua topologia.
http://www.cymru.com/Documents/secure-bind-template.html
[]s, Julião
>
----- Original Message -----
From: <casfre at gmail.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Wednesday, January 21, 2009 10:44 AM
Subject: Re: [GTER] DNS queries for "." (ddos reflection attack)
Rubens,
2009/1/20 Rubens Kuhl Jr. <rubensk at gmail.com>:
> É possível separar os autoritativos dos recursivos mesmo com o mesmo
> número de máquinas físicas e lógicas, que é ter dois processos rodando
> na mesma máquina, um autoritativo e outro recursivo, cada um com
> binding para um IP diferente.
Boa lembrança e boa alternativa.
> Se os dois processos forem BIND, você precisaria usar chroot para que
> cada veja uma árvore de configuração distinta; porém, pode ser uma boa
> oportunidade de manter seu atual servidor autoritativo e mudar o
> recursivo para o Unbound (http://www.unbound.net).
Já iniciei testes com o Unbound (ainda lendo documentação e
howtos oficiais) e meus BIND já usam chroot, então, meio caminho
andado.
Até o momento, no entanto, para esse ddos em questão, essa
separação não resolveria o caso, pois o BIND ainda responde com o
REFUSED para a consulta em questão (ou então fiz caquinha).
Obrigado pelas idéias.
Cássio
>
More information about the gter
mailing list