[GTER] RES: DNS queries for "." (ddos reflection attack)
Luiz Otavio O Souza
luiz at visualconnect.com.br
Wed Jan 21 17:10:15 -02 2009
>
> > Lembrando que o objetivo de qq DDOS é cessar a resposta.
>
> mas o alvo do DDoS não é o servidor que provê a resposta, é o endereço
> spoofado da pergunta. ao prover uma resposta (especialmente uma longa)
> você está ajudando a atacar. então o que se pode fazer é filtrar a
> mensagem REFUSED mandada para o alvo do ataque.
Danton,
Confirmei aqui que todos que estão fazendo slave dos root zones (como
recomendado em algumas instalações) estão contribuindo para o ataque.
O formato antigo de "hint" resolve o problema. Se você tem essa configuração
no seu named.conf:
zone "." {
type slave;
file "slave/root.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
zone "arpa" {
type slave;
file "slave/arpa.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
zone "in-addr.arpa" {
type slave;
file "slave/in-addr.arpa.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
Comente e troque por:
zone "." { type hint; file "named.root"; };
Ou adicione as views como recomendado na documentação que circulou pela
lista, mas resumindo... na view externa seu servidor deve responder
(master/slave) apenas pelos domínios para o qual ele É autoritativo.
E assim seu servidor responderá apenas REFUSED como deveria.
[]'s
Luiz
More information about the gter
mailing list