[GTER] RES: Flood de requisições DNS quase parando servidor
Ricardo Rodrigues
rcr.listas at ig.com.br
Sat Sep 22 12:10:27 -03 2012
Nelson,
O que você quer dizer com "Redefina para utilização de requisições apenas
TCP"?
Abs,
Ricardo
Em 22 de setembro de 2012 11:36, Nelson Brito <nbrito at sekure.org> escreveu:
> Meus 2 centavos!
>
> Se as requisições forem através de protocolo UDP, elas podem ser
> facilmente forjadas e amplificadas. Lembrem-se do SMURF e Fraggle, pois é
> basicamente o mesmo modelo.
>
> Redefina para utilização de requisições apenas TCP, isso evitará tanto
> requisições forjadas quanto impedirá uma ação mais efetiva de amplificação
> - o atacante terá sempre que estabelecer TCP Full-Connect (3-way
> handshake), e isto não será tão efetivo quanto um ataque através de UDP.
>
> Evite também a recursividade nas requisições, permitindo apenas para as
> origens que realmente necessitam fazê-las.
>
> Nelson Brito
> http://about.me/nbrito
>
> "Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae
> morales ad Lucilium, Lucius Annaeus Seneca)
>
> Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
> --
> Sent on an iPhone wireless device. Please, forgive any potential
> misspellings!
>
> On Sep 22, 2012, at 10:57 AM, "lscrlstld" <lscrlstld at gmail.com> wrote:
>
> >> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
> >> coloquei um block para tudo que for entrada de na porta 53 destino o
> >> servidor dns antigo, porém o fluxo continua...... tem algo bem errado
> >> einh?
> >
> > Dropar os pacotes pode indicar ao atacante que ele atingiu o objetivo, e
> que
> > o DDOS ocorreu.
> > Vc chegou a ver que tipo de ação o atacante está fazendo? Consulta
> > recursiva, tentando amplificar o ataque ou envenenar o cachê do DNS? Etc?
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list