[GTER] IP spoofing: "rastreamento" e contatos com operadoras

Julio Arruda jarruda-gter em jarruda.com
Quarta Janeiro 28 15:40:46 BRST 2009


Hygor wrote:
> Bom dia,
>  Esse ataque causa DDoS no ip spoofado.. na sua rede podera somente causar
> uma leve lentidão nas consultas..
> 
> http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
> 
> http://www.cymru.com/Documents/secure-bind-template.html
> []s

Humm..sim, na verdade o Cassio comecou o thread baseado nos recentes 
ataques de DNS amplificados da semana passada que 'fizeram noticia', e 
com isto ele (com merito), esta tentando fechar implementacao de 
tecnicas basicas de anti-spoofing na rede dele :-)

> 
> 
> 2009/1/27 Julio Arruda <jarruda-gter em jarruda.com>
> 
>> casfre em gmail.com wrote:
>>
>>> Júlio,
>>>
>>>     Primeiro, obrigado por suas considerações e observações.
>>>
>>>     Pelo que entendi, não é mesmo uma tarefa trivial o que eu
>>> esperava que fosse feito.
>>>
>>>  Uma curiosidade, voce menciona o ataque de DNS refletido.
>>>> Voce tem BCP38 na sua rede ?
>>>>
>>>     Meu primeiro contato com o termo "BCP38" foi em um post da NANOG,
>>> nesse evento do DNS refletido. Já li uma vez e estou lendo novamente.
>>>
>> Parabens, voce e' parte da solucao :-)..
>> Acredite, tem muitos que nao usam...
>>
>>  Pelo que já entendi até agora, eu já fazia os filtros de entrada e
>>> saída no firewall, conforme assunto tratado no item 2.1 Ingress Access
>>> Lists [1], o qual parece ser o mais indicado para nosso caso.
>>>
>> Talvez voce possa usar algo como "uRPF", onde voce na verdade nao tem que
>> ficar mantendo listas de acesso, e sim tem uma configuracao nos elementos de
>> borda (acesso e Peering Edge, assim voce pega tambem o caso de alguem de
>> 'dentro' de seu hosting no datacenter por exemplo :-)), para que ele
>> verifique via uRPF, se 'o IP que mandou este pacote, deveria estar ali de
>> onde veio este pacote ?"
>> Nao e' trivial, com redundancia de caminhos e etc, mas tem com certeza
>> varios aqui na lista que podem dar aula disto, melhor do que eu :-)..
>>
>>
>>
>>>     O roteador ( que está antes do firewall ) é da operadora e é ela
>>> a responsável pela configuração. Como o "link" é entregue em uma porta
>>> ethernet, estou analisando a retirada do roteador, mas ainda há
>>> algumas considerações a fazer.
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list