[GTER] RES: DNS queries for "." (ddos reflection attack)
Luiz Otavio O Souza
luiz at visualconnect.com.br
Wed Jan 21 17:17:33 -02 2009
Luiz Otavio O Souza wrote:
>>> De volta ao tópico, eu ainda estou tentando convencer o BIND a parar de
>>> responder (resposta negativa ainda é resposta!) a queries para o qual
>>> não tem autoridade (incluindo a query pelo root), em uma view que está
>>> configurada assim:
>>>
>>> recursion no;
>>> additional-from-auth no;
>>> additional-from-cache no;
>>>
>>> A única coisa que não tentei ainda foi arrancar o hint do root zone da
>>> view...
>>>
>>> Assim que tiver um tempo, vou olhar no código fonte.
>>
>> Se você esta falando de uma view externa para o seu servidor
>> autoritativo, com certeza você terá que remover o hint da root zone,
>> afinal não é o seu servidor o autoritativo (eta nomezinho dificil) para
>> essa zona.
>
> Arranquei tudo. Não fez diferença alguma, o BIND continua respondendo com
> REFUSED à pedidos por zonas que não possui, em lugar de ignorar o pedido.
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Projetos Especiais
> TEL +55-19-3739-6055/CEL +55-19-9293-9464
Sim Henrique... o bind vai responder sempre... alguem precisa confirmar que
a zona não existe, seja o seu servidor, seja outro (a não resposta
confundiria muitos caches, sem contar no tempo que ele precisaria esperar
para entender que o servidor não respondeu simplesmente pq o domínio não
existe).
Mais do que isso no momento, só aplicando as regras no firewall sugeridas na
nanog (para nossa sorte parece que todo ataque esta partindo a partir da
porta 53 do ip spoofado - fácil ;))
[]'s
Luiz
More information about the gter
mailing list