[GTER] RES: DNS queries for "." (ddos reflection attack)

Luiz Otavio O Souza luiz at visualconnect.com.br
Wed Jan 21 17:10:15 -02 2009


>
> > Lembrando que o objetivo de qq DDOS é cessar a resposta.
>
> mas o alvo do DDoS não é o servidor que provê a resposta, é o endereço 
> spoofado da pergunta. ao prover uma resposta (especialmente uma longa) 
> você está ajudando a atacar. então o que se pode fazer é filtrar a 
> mensagem REFUSED mandada para o alvo do ataque.

Danton,

Confirmei aqui que todos que estão fazendo slave dos root zones (como 
recomendado em algumas instalações) estão contribuindo para o ataque.

O formato antigo de "hint" resolve o problema. Se você tem essa configuração 
no seu named.conf:

zone "." {
        type slave;
        file "slave/root.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
zone "arpa" {
        type slave;
        file "slave/arpa.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;
};
zone "in-addr.arpa" {
        type slave;
        file "slave/in-addr.arpa.slave";
        masters {
                192.5.5.241;    // F.ROOT-SERVERS.NET.
        };
        notify no;

Comente e troque por:

zone "." { type hint; file "named.root"; };

Ou adicione as views como recomendado na documentação que circulou pela 
lista, mas resumindo... na view externa seu servidor deve responder 
(master/slave) apenas pelos domínios para o qual ele É autoritativo.

E assim seu servidor responderá apenas REFUSED como deveria.

[]'s
Luiz 




More information about the gter mailing list