[GTER] DNS queries for "." (ddos reflection attack)

Julião Braga juliao em braga.eti.br
Quarta Janeiro 21 11:26:51 BRST 2009


Cássio,

O modelo de views do artigo abaixo resolve o problema de negar a querie para 
".".

Adicione a ele os recursos de DNSSEC não incluídos no view recursivo. E 
eventuais variações inerentes à sua topologia.

http://www.cymru.com/Documents/secure-bind-template.html

[]s, Julião

>
----- Original Message ----- 
From: <casfre em gmail.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
<gter em eng.registro.br>
Sent: Wednesday, January 21, 2009 10:44 AM
Subject: Re: [GTER] DNS queries for "." (ddos reflection attack)


Rubens,

2009/1/20 Rubens Kuhl Jr. <rubensk em gmail.com>:
> É possível separar os autoritativos dos recursivos mesmo com o mesmo
> número de máquinas físicas e lógicas, que é ter dois processos rodando
> na mesma máquina, um autoritativo e outro recursivo, cada um com
> binding para um IP diferente.

     Boa lembrança e boa alternativa.

> Se os dois processos forem BIND, você precisaria usar chroot para que
> cada veja uma árvore de configuração distinta; porém, pode ser uma boa
> oportunidade de manter seu atual servidor autoritativo e mudar o
> recursivo para o Unbound (http://www.unbound.net).

     Já iniciei testes com o Unbound (ainda lendo documentação e
howtos oficiais) e meus BIND já usam chroot, então, meio caminho
andado.

     Até o momento, no entanto, para esse ddos em questão, essa
separação não resolveria o caso, pois o BIND ainda responde com o
REFUSED para a consulta em questão (ou então fiz caquinha).

     Obrigado pelas idéias.

Cássio
> 




More information about the gter mailing list