[GTER] DNS queries for "." (ddos reflection attack)

casfre at gmail.com casfre at gmail.com
Wed Jan 21 11:02:35 -02 2009


Julião,

2009/1/21 Julião Braga <juliao at braga.eti.br>:
> Somente para registro, o BIND está imune ao problema de queries ao ".".
>
> O que significa, que o problema não é do BIND, mas sim de configuração ou a
> negligência em relação à importância dos servidores de DNS, na
> infraestrutura da Internet. O ISC, pelo que tudo indica, faz um bom trabalho
> respondendo, rapidamente,  aos problemas de segurança que são descobertos e
> que possam comprometer o BIND.
>

     O que notei aqui, mesmo com as configurações recomendadas pelo
cert.br é que o BIND responde com a recusa, mas responde. Como o
endereço é spoofado, o problema acontece de qualquer forma. Há menos
bytes na resposta, mas ainda há.

     Eu me esforço para manter meus servidores DNS organizados e para
que não façam e não ajudem a fazer "caquinhas".

     Que detalhe deixei escapar nesse caso da query para "."?

     Obrigado.

Cássio

>>
> Não vi diferença (fora o filtro de bogons, que preferimos fazer nos
> roteadores de borda por aqui) se comparado às recomendações do
> registro.br para servidores DNS em [1]...
>
> Ou seja, pelo jeito o bind é estupido demais para ignorar completamente
> pedidos de zonas que não possui, e precisa do truque nojento na firewall
> para evitar propagar *este* DDoS em específico (o próximo pode pedir
> algo meio diferente de ".", e escapar do filtro na firewall).
>
> Será que a ISC vai ter a vergonha na cara de soltar um patch pro bind
> para podermos configurar ele para se fazer de moco nas views
> autoritativas não-recursivas?
>
>>> [1]http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>>> [2]http://isc.sans.org/diary.html?storyid=5713
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Projetos Especiais
> TEL +55-19-3739-6055/CEL +55-19-9293-9464



More information about the gter mailing list