[GTER] RES: DNS queries for "." (ddos reflection attack)

Luiz Otavio O Souza luiz at visualconnect.com.br
Wed Jan 21 17:17:33 -02 2009


Luiz Otavio O Souza wrote:
>>> De volta ao tópico, eu ainda estou tentando convencer o BIND a parar de 
>>> responder (resposta negativa ainda é resposta!) a queries para o qual 
>>> não tem autoridade (incluindo a query pelo root), em uma view que está 
>>> configurada assim:
>>>
>>>          recursion no;
>>>          additional-from-auth no;
>>>          additional-from-cache no;
>>>
>>> A única coisa que não tentei ainda foi arrancar o hint do root zone da 
>>> view...
>>>
>>> Assim que tiver um tempo, vou olhar no código fonte.
>>
>> Se você esta falando de uma view externa para o seu servidor 
>> autoritativo, com certeza você terá que remover o hint da root zone, 
>> afinal não é o seu servidor o autoritativo (eta nomezinho dificil) para 
>> essa zona.
>
> Arranquei tudo.  Não fez diferença alguma, o BIND continua respondendo com 
> REFUSED à pedidos por zonas que não possui, em lugar de ignorar o pedido.
>
> -- 
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Projetos Especiais
> TEL +55-19-3739-6055/CEL +55-19-9293-9464

Sim Henrique... o bind vai responder sempre... alguem precisa confirmar que 
a zona não existe, seja o seu servidor, seja outro (a não resposta 
confundiria muitos caches, sem contar no tempo que ele precisaria esperar 
para entender que o servidor não respondeu simplesmente pq o domínio não 
existe).

Mais do que isso no momento, só aplicando as regras no firewall sugeridas na 
nanog (para nossa sorte parece que todo ataque esta partindo a partir da 
porta 53 do ip spoofado - fácil ;))

[]'s
Luiz




More information about the gter mailing list