[GTER] DNS queries for "." (ddos reflection attack)

Julião Braga juliao em braga.eti.br
Quarta Janeiro 21 14:38:10 BRST 2009


Cassio,

Para o caso específico da query ".", acho que o DNSSEC não é importante, 
embora você possa exigir DNSSEC no recursivo, independente de você ter 
implementado nos seus domínios. Salvo engando, o DNSSEC no BIND irá validar 
o RRSIG via a chave pública do .br e do dlv.isc.org.

Me corrijam, os especialistas, caso eu esteja enganado.

[], Julião

>     Foi exatamente o artigo que segui em meus testes. Só não usei a
ACL bogon (já existe filtro no firewall) e nem a view CHAOS, que não
creio ser necessária aqui. Em atenção à sua resposta, repetirei o
processo. (BIND 9.4.3-P1)

     Para o DNSSEC ainda precisarei de mais uns 2 meses, no entanto,
creio que ele não seja crucial para esse ataque específico, certo?

     Agradeço pela atenção e retornarei a respeito.

Cássio
> 




More information about the gter mailing list