[GTER] IP spoofing: "rastreamento" e contatos com operadoras

[Hygor]

Bom dia,
 Esse ataque causa DDoS no ip spoofado.. na sua rede podera somente causar
uma leve lentidão nas consultas..

http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf

http://www.cymru.com/Documents/secure-bind-template.html
[]s


2009/1/27 Julio Arruda <jarruda-gter at jarruda.com>

> casfre at gmail.com wrote:
>
>> Júlio,
>>
>>     Primeiro, obrigado por suas considerações e observações.
>>
>>     Pelo que entendi, não é mesmo uma tarefa trivial o que eu
>> esperava que fosse feito.
>>
>>  Uma curiosidade, voce menciona o ataque de DNS refletido.
>>> Voce tem BCP38 na sua rede ?
>>>
>>
>>     Meu primeiro contato com o termo "BCP38" foi em um post da NANOG,
>> nesse evento do DNS refletido. Já li uma vez e estou lendo novamente.
>>
>
> Parabens, voce e' parte da solucao :-)..
> Acredite, tem muitos que nao usam...
>
>  Pelo que já entendi até agora, eu já fazia os filtros de entrada e
>> saída no firewall, conforme assunto tratado no item 2.1 Ingress Access
>> Lists [1], o qual parece ser o mais indicado para nosso caso.
>>
>
> Talvez voce possa usar algo como "uRPF", onde voce na verdade nao tem que
> ficar mantendo listas de acesso, e sim tem uma configuracao nos elementos de
> borda (acesso e Peering Edge, assim voce pega tambem o caso de alguem de
> 'dentro' de seu hosting no datacenter por exemplo :-)), para que ele
> verifique via uRPF, se 'o IP que mandou este pacote, deveria estar ali de
> onde veio este pacote ?"
> Nao e' trivial, com redundancia de caminhos e etc, mas tem com certeza
> varios aqui na lista que podem dar aula disto, melhor do que eu :-)..
>
>
>
>>     O roteador ( que está antes do firewall ) é da operadora e é ela
>> a responsável pela configuração. Como o "link" é entregue em uma porta
>> ethernet, estou analisando a retirada do roteador, mas ainda há
>> algumas considerações a fazer.
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>