[GTER] RES: DNS queries for "." (ddos reflection attack)

Luiz Otavio O Souza luiz em visualconnect.com.br
Quarta Janeiro 21 17:48:12 BRST 2009


>>
>> > Lembrando que o objetivo de qq DDOS é cessar a resposta.
>>
>> mas o alvo do DDoS não é o servidor que provê a resposta, é o endereço 
>> spoofado da pergunta. ao prover uma resposta (especialmente uma longa) 
>> você está ajudando a atacar. então o que se pode fazer é filtrar a 
>> mensagem REFUSED mandada para o alvo do ataque.
>
> Danton,
>
> Confirmei aqui que todos que estão fazendo slave dos root zones (como 
> recomendado em algumas instalações) estão contribuindo para o ataque.
>
> não sei quem deu essa recomendação, mas acho um despropósito.

Veja: 
http://www.freebsd.org/cgi/cvsweb.cgi/src/etc/namedb/named.conf?rev=1.28

Como falei anteriormente, nao sei se a recomendação é do FreeBSD ou do 
bind...

> há muito tempo se sabe que o mesmo servidor não deve ser autoritativo e 
> recursivo simultaneamente. No caso do bind as funções podem ser segregadas 
> com 'views'.

djbdns que o diga... ;)

> além disso porque cargas d'água a zona "." deve aparecer na 'view' 
> autoritativa, se ela só serve para recursão? tem mais é que dar o sumiço 
> nisso, seja 'hint', seja 'slave' de qualquer 'view' autoritativa.

Não deve, mas veja que no exemplo do freebsd, qualquer servidor configurado, 
mesmo que apenas como cache local (e fazendo slave das root zones) causa 
esse problema.

Eu imagino que alguem deve ter verificado o grande volume de servidores 
nessa situação, o que propiciou o ataque de amplificação (por isso imagino 
que essa recomendação não deve ser freebsd only).

> Ou adicione as views como recomendado na documentação que circulou pela 
> lista, mas resumindo... na view externa seu servidor deve responder 
> (master/slave) apenas pelos domínios para o qual ele É autoritativo.

> exatamente!
+1

Luiz 




More information about the gter mailing list