[GTER] RES: Flood de requisições DNS quase parando servidor

[Nelson Brito]

Meus 2 centavos!

Se as requisições forem através de protocolo UDP, elas podem ser facilmente forjadas e amplificadas. Lembrem-se do SMURF e Fraggle, pois é basicamente o mesmo modelo.

Redefina para utilização de requisições apenas TCP, isso evitará tanto requisições forjadas quanto impedirá uma ação mais efetiva de amplificação - o atacante terá sempre que estabelecer TCP Full-Connect (3-way handshake), e isto não será tão efetivo quanto um ataque através de UDP.

Evite também a recursividade nas requisições, permitindo apenas para as origens que realmente necessitam fazê-las.

Nelson Brito
http://about.me/nbrito

"Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae morales ad Lucilium, Lucius Annaeus Seneca)

Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
--
Sent on an  iPhone wireless device. Please, forgive any potential misspellings!

On Sep 22, 2012, at 10:57 AM, "lscrlstld" <lscrlstld at gmail.com> wrote:

>> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
>> coloquei um block para tudo que for entrada de na porta 53 destino o
>> servidor dns antigo, porém o fluxo continua...... tem algo bem errado
>> einh?
> 
> Dropar os pacotes pode indicar ao atacante que ele atingiu o objetivo, e que
> o DDOS ocorreu.
> Vc chegou a ver que tipo de ação o atacante está fazendo? Consulta
> recursiva, tentando amplificar o ataque ou envenenar o cachê do DNS? Etc?
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter