[GTER] RES: DNS queries for "." (ddos reflection attack)

casfre em gmail.com casfre em gmail.com
Quarta Janeiro 21 17:08:56 BRST 2009


> On Wed, 21 Jan 2009, Toledo, Luis Carlos wrote:
>
>> Lembrando que o objetivo de qq DDOS é cessar a resposta.
>
> mas o alvo do DDoS não é o servidor que provê a resposta, é o endereço
> spoofado da pergunta. ao prover uma resposta (especialmente uma longa) você
> está ajudando a atacar. então o que se pode fazer é filtrar a mensagem
> REFUSED mandada para o alvo do ataque.

     Eu optei por filtrar a consulta inicial, de forma que o pacote
específico ( UDP porta 53 length 45:45 - iptables ) nunca chegue ao
servidor de DNS. Continuam chegando aos montes, mas ficam DROP no
firewall, logo, não há resposta.

     Alguma sugestão mais, digamos, elaborada?

     Obrigado.

Cássio



More information about the gter mailing list