[GTER] RES: DNS queries for "." (ddos reflection attack)
casfre at gmail.com
casfre at gmail.com
Wed Jan 28 19:35:04 -02 2009
Olá,
>> mas o alvo do DDoS não é o servidor que provê a resposta, é o endereço
>> spoofado da pergunta. ao prover uma resposta (especialmente uma longa) você
>> está ajudando a atacar. então o que se pode fazer é filtrar a mensagem
>> REFUSED mandada para o alvo do ataque.
>
> Eu optei por filtrar a consulta inicial, de forma que o pacote
> específico ( UDP porta 53 length 45:45 - iptables ) nunca chegue ao
> servidor de DNS. Continuam chegando aos montes, mas ficam DROP no
> firewall, logo, não há resposta.
Como era de se esperar nesse caso, algo mudou, além do ip de origem. :-)
Percebi, nos logs do servidor DNS, que voltaram as ocorrência de
"query: . IN NS -".
Notei que o "-" no final é diferente. Antes aparecia "+". Não sei
se isso explica a diferença, no entanto, usando o tcpdump, vi que o
pacote agora tem 47 bytes. Embora o servidor tenha negado o acesso
(REFUSED), vou tentar um ajuste no filtro.
Vou continuar "investigando" para ver se entendo o motivo do
aumento de 2 bytes.
Minha intenção, como tcpdump beginner forever. :-), é encontrar,
"olhando" o pacote onde está a diferença. :-)
Obrigado.
Cássio
More information about the gter
mailing list