[GTER] RES: DNS queries for "." (ddos reflection attack)

casfre at gmail.com casfre at gmail.com
Wed Jan 21 16:12:52 -02 2009 

Olá,

2009/1/21 Luiz Otavio O Souza <luiz at visualconnect.com.br>:
>>
>> De volta ao tópico, eu ainda estou tentando convencer o BIND a parar de
>> responder (resposta negativa ainda é resposta!) a queries para o qual não
>> tem autoridade (incluindo a query pelo root), em uma view que está
>> configurada assim:
>>
>>         recursion no;
>>         additional-from-auth no;
>>         additional-from-cache no;
>>
>> A única coisa que não tentei ainda foi arrancar o hint do root zone da
>> view...
>>

     Fiz testes com dois servidores (BIND 9.4.3-P1): um deles usando
views, seguindo o artigo [1] e outro usando a configuração que eu já
tinha antes desse "ddos" começar ( sem views e sem esses parâmetros
"recursion" e "additional..."). Em ambos os casos, não há recursão
para quem não é "trusted".

     Deixei os dois servidores rodando, cada um com uma configuração (
um com a nova e outro com a antiga ). Não notei diferença alguma na
resposta à query ".". Se observo as inúmeras conexões "spoofadas", no
firewall, percebo que o BIND responde a cada uma das consultas com um
pacote UDP de length=45 e nele há um "Refused".

     Se eu uso o comando "dig . NS @ip.meu.servidor +noall +answer
+short" (de fora de minha rede e com IP não "trusted"), os pacotes
parecem ter o mesmo comportamento daqueles gerados pela consulta
spoofada. Isso acontece com os dois servidores (conf nova e conf
velha).

     Usei o comando "tcpdump -n -i eth0 -XX -v -s512 host
<src.ip.aqui> and <dst.ip.aqui>" para coletar as informações ( ainda
sou "beginner" nessa história de tcpdump ).

     Também experimentei tirar a zone "." da view "external", mas nada
mudou. Como eu tenho um servidor de DNS exclusivo para a minha rede
interna (RFC 1918), o uso de views, no meu caso, não mudou muita
coisa. Vou continuar analisando, ainda assim, uma forma de separar os
recursivos dos autoritativos, tentando seguir as "melhores práticas".

     Fiz uma pergunta [2] em um fórum do dnsreport.com mas, até o
momento, pelo dito, não há uma solução definitiva.

     Pelo visto, parte crucial desse problema é mesmo o spoofing. Por
enquanto, fica a regra no firewall com o DROP.

     Obrigado pela atenção.

P.S. se houver sugestões de leitura sobre spoofing e sobre como lidar
(argumentação) com as operadoras (fornecedora do link) nesse caso, por
favor, me informem. :-)

Cássio

>>
>
> Henrique,
>
> Se você esta falando de uma view externa para o seu servidor autoritativo,
> com certeza você terá que remover o hint da root zone, afinal não é o seu
> servidor o autoritativo (eta nomezinho dificil) para essa zona.
>

[1]http://www.cymru.com/Documents/secure-bind-template.html
[2]http://member.dnsstuff.com/forums/showthread.php?p=14736525#post14736525

More information about the gter mailing list