[GTER] RES: DNS queries for "." (ddos reflection attack)

casfre em gmail.com casfre em gmail.com
Quarta Janeiro 28 19:35:04 BRST 2009


Olá,

>> mas o alvo do DDoS não é o servidor que provê a resposta, é o endereço
>> spoofado da pergunta. ao prover uma resposta (especialmente uma longa) você
>> está ajudando a atacar. então o que se pode fazer é filtrar a mensagem
>> REFUSED mandada para o alvo do ataque.
>
>     Eu optei por filtrar a consulta inicial, de forma que o pacote
> específico ( UDP porta 53 length 45:45 - iptables ) nunca chegue ao
> servidor de DNS. Continuam chegando aos montes, mas ficam DROP no
> firewall, logo, não há resposta.

     Como era de se esperar nesse caso, algo mudou, além do ip de origem. :-)

     Percebi, nos logs do servidor DNS, que voltaram as ocorrência de
"query: . IN NS -".

     Notei que o "-" no final é diferente. Antes aparecia "+". Não sei
se isso explica a diferença, no entanto, usando o tcpdump, vi que o
pacote agora tem 47 bytes. Embora o servidor tenha negado o acesso
(REFUSED), vou tentar um ajuste no filtro.

     Vou continuar "investigando" para ver se entendo o motivo do
aumento de 2 bytes.

     Minha intenção, como tcpdump beginner forever. :-), é encontrar,
"olhando" o pacote onde está a diferença. :-)

     Obrigado.

Cássio



More information about the gter mailing list