[GTER] RES: DNS queries for "." (ddos reflection attack)

Danton Nunes danton em inexo.com.br
Quarta Janeiro 21 15:57:30 BRST 2009


On Wed, 21 Jan 2009, Luiz Otavio O Souza wrote:

>> 
>> > Lembrando que o objetivo de qq DDOS é cessar a resposta.
>> 
>> mas o alvo do DDoS não é o servidor que provê a resposta, é o endereço 
>> spoofado da pergunta. ao prover uma resposta (especialmente uma longa) 
>> você está ajudando a atacar. então o que se pode fazer é filtrar a 
>> mensagem REFUSED mandada para o alvo do ataque.
>
> Danton,
>
> Confirmei aqui que todos que estão fazendo slave dos root zones (como 
> recomendado em algumas instalações) estão contribuindo para o ataque.

não sei quem deu essa recomendação, mas acho um despropósito.

há muito tempo se sabe que o mesmo servidor não deve ser autoritativo e 
recursivo simultaneamente. No caso do bind as funções podem ser segregadas 
com 'views'.

além disso porque cargas d'água a zona "." deve aparecer na 'view' 
autoritativa, se ela só serve para recursão? tem mais é que dar o sumiço 
nisso, seja 'hint', seja 'slave' de qualquer 'view' autoritativa.

> Ou adicione as views como recomendado na documentação que circulou pela 
> lista, mas resumindo... na view externa seu servidor deve responder 
> (master/slave) apenas pelos domínios para o qual ele É autoritativo.

exatamente!




More information about the gter mailing list