[GTER] DNS queries for "." (ddos reflection attack)
Julião Braga
juliao at braga.eti.br
Wed Jan 21 14:38:10 -02 2009
Cassio,
Para o caso específico da query ".", acho que o DNSSEC não é importante,
embora você possa exigir DNSSEC no recursivo, independente de você ter
implementado nos seus domínios. Salvo engando, o DNSSEC no BIND irá validar
o RRSIG via a chave pública do .br e do dlv.isc.org.
Me corrijam, os especialistas, caso eu esteja enganado.
[], Julião
> Foi exatamente o artigo que segui em meus testes. Só não usei a
ACL bogon (já existe filtro no firewall) e nem a view CHAOS, que não
creio ser necessária aqui. Em atenção à sua resposta, repetirei o
processo. (BIND 9.4.3-P1)
Para o DNSSEC ainda precisarei de mais uns 2 meses, no entanto,
creio que ele não seja crucial para esse ataque específico, certo?
Agradeço pela atenção e retornarei a respeito.
Cássio
>
More information about the gter
mailing list