[GTER] IP spoofing: "rastreamento" e contatos com operadoras

casfre at gmail.com casfre at gmail.com
Wed Jan 28 22:07:14 -02 2009


2009/1/28 Julio Arruda <jarruda-gter at jarruda.com>:
> Hygor wrote:
>>
>> Bom dia,
>>  Esse ataque causa DDoS no ip spoofado.. na sua rede podera somente causar
>> uma leve lentidão nas consultas..
>>
>> http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
>>
>> http://www.cymru.com/Documents/secure-bind-template.html
>> []s
>
> Humm..sim, na verdade o Cassio comecou o thread baseado nos recentes ataques
> de DNS amplificados da semana passada que 'fizeram noticia', e com isto ele
> (com merito), esta tentando fechar implementacao de tecnicas basicas de
> anti-spoofing na rede dele :-)

     Talvez pela pouca "vivência", com pessoas e ambientes que lidam
com essas coisas a todo tempo, eu esteja "exagerando" em minhas buscas
e em minha reação.  No entanto, pelo que tenho lido aqui e na NANOG (
sou principiante lá também ), parece que a preocupação, a monitoração,
a vigilância e a pesquisa sobre o assunto são constantes e sérias.

     Com isso tudo, eu não consigo parar de pensar assim: hoje o
problema são algumas queries dirigidas aos meus servidores de DNS.
Desde o início elas estão sendo recusadas mas, o que virá depois?
Tenho visto na NANOG que já existem consultas para strings aleatórias.
Hoje mesmo fiz um outro post relatando o fato de que tenho agora
consultas com pacotes de 47 bytes. Um pouco antes de sair do trabalho
eu analisava o fato dessa nova "onda" de queries estar usando um
intervalo de 38 minutos entre as conexões.

     Assim, penso ainda: se eu não fizer nada, quanto mais conseguirão
descobrir em minha rede? Não fazer nada será um sinal de que eu seria
um "alvo fácil" e, portanto, um "porto seguro" para ataques no futuro?
Será um sinal que diga algo como "ei, aqui não tem ninguém percebendo
nada disso... hummmm". Penso também: será que alguém, aqui dentro de
nossa rede, conseguiria usar a estrutura para originar algo
semelhante?

     Como lembrou o Júlio, é  por isso que estou tentando fazer o
melhor que eu consigo. Percebo que acompanhando essas discussões e
recebendo idéias ( mais recebo que ofereço) posso contribuir, no
mínimo, não piorando o problema. Se descubro que a melhor prática é
não responder, mesmo com REFUSED, para esse tipo de ataque, então,
tentarei implementá-la.

     Se não me engano, o poder do DDoS está exatamente na quantidade
de agentes "atacantes" que se consegue mobilizar, certo? Pretendo ser
menos 1. :-)

    Obrigado pela atenção e pelas URLs. Eu já as tinha visitado, mas
valeu pela lembrança.

Cássio



More information about the gter mailing list