[GTER] RES: DNS queries for "." (ddos reflection attack)
Danton Nunes
danton at inexo.com.br
Wed Jan 21 15:57:30 -02 2009
On Wed, 21 Jan 2009, Luiz Otavio O Souza wrote:
>>
>> > Lembrando que o objetivo de qq DDOS é cessar a resposta.
>>
>> mas o alvo do DDoS não é o servidor que provê a resposta, é o endereço
>> spoofado da pergunta. ao prover uma resposta (especialmente uma longa)
>> você está ajudando a atacar. então o que se pode fazer é filtrar a
>> mensagem REFUSED mandada para o alvo do ataque.
>
> Danton,
>
> Confirmei aqui que todos que estão fazendo slave dos root zones (como
> recomendado em algumas instalações) estão contribuindo para o ataque.
não sei quem deu essa recomendação, mas acho um despropósito.
há muito tempo se sabe que o mesmo servidor não deve ser autoritativo e
recursivo simultaneamente. No caso do bind as funções podem ser segregadas
com 'views'.
além disso porque cargas d'água a zona "." deve aparecer na 'view'
autoritativa, se ela só serve para recursão? tem mais é que dar o sumiço
nisso, seja 'hint', seja 'slave' de qualquer 'view' autoritativa.
> Ou adicione as views como recomendado na documentação que circulou pela
> lista, mas resumindo... na view externa seu servidor deve responder
> (master/slave) apenas pelos domínios para o qual ele É autoritativo.
exatamente!
More information about the gter
mailing list