[GTER] Flood de requisições DNS quase parando servidor

Ricardo Rodrigues rcr.listas at ig.com.br
Sat Sep 22 13:05:52 -03 2012 

Enio,

Se os IP's que você postou são corretos, há dois endereços IP externos
enviando requisições para seus servidores.

Origens:
65.30.47.49 - Road Runner HoldCo LLC
69.42.234.216 - Red River Telephone

Destinos:
200.201.202.34 a 200.201.202.39, porta 53

Algumas observações:

1. As consultas são para o domínio ".", tipo ANY. Isto é típico de ataques
de amplificação com IP de origem spoofado.

2. Todos os IP's 34 a 39 eram servidores DNS? Parece que estão fazendo um
scan na sua rede. De qualquer forma, sugere-se que você tenha ao menos 2
endereços IP para seus autoritativos, e mais 2 para seus recursivos.
Lembre-se que os servidores autoritativos antigos (antes da sua mudança)
receberão consultas até que o TTL expire nos servidores cache (tanto seus
quanto os da Internet).

3. Se você configurar "allow-query none", você está dizendo que ninguém
pode consultar seu servidor (seja autoritativo ou cache). Por isso seu
domínio ficou inacessível em seu primeiro e-mail.

4. Seguem exemplos de configuração de servidores Cache e Autoritativo
segundo o ARM do BIND 9.9:
http://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch03.html#id2567771. Em
servidores cache, configura-se o allow-query para seus clientes, e em
autoritativos configura-se o allow-query para any e nega-se a recursão
(recursion no).

Saudações,
Ricardo

Disclaimer: Esta mensagem expressa minha opinião pessoal e é independente
do vendor DNS para o qual trabalho.

Em 21 de setembro de 2012 21:21, Enio Marconcini <eniorm at gmail.com>escreveu:

> 2012/9/19 Ricardo Rodrigues <rcr.listas at ig.com.br>
>
> > Não sei a opinião dos demais, mas tenho pra mim que DNS é um dos pontos
> > mais frágeis/sensíveis da "Arquitetura Internet" (se não for O mais
> > frágil). Além disso, muito do "senso comum" não se aplica para DNS. E se
> > fizer uma mudança errada, pode demorar um bom tempo até que a correção
> > tenha efeito por causa do cache DNS.
> >
> > Algumas das melhores práticas:
> > - Separe as funções DNS Autoritativo e Recursivo (endereços IP
> diferentes),
> > preferencialmente em servidores diferentes.
> > - Configure o recursivo para aceitar consultas apenas de seus clientes
> > - Mantenha o software DNS atualizado contra vulnerabilidades.
> > - Software DNS de qualidade não requer firewall stateful ou IPS para
> > proteção. Em caso de ataques DDoS/DoS, estes elementos vão cair antes do
> > DNS. Verifique se seu software DNS requer proteção com FW e IPS .
> > - O servidor DNS recebe consultas via UDP E TCP. É comum administradores
> > bloquearem consultas via TCP mas não é o correto.
> > - No caso de autoritativos, tenha um hidden master com alta
> > disponibilidade. Se ele não tiver alta disponibilidade, você não poderá
> > fazer aprovisionamento em caso de falha.
> >
> > Disclaimer: Esta mensagem expressa minha opinião pessoal e é independente
> > do vendor DNS onde trabalho.
> >
> > Abs,
> > Ricardo
> >
> >
> bom pessoal, seguindo as dicas da galera, dei uma arrumada na casa, mudei o
> dns autoritativo para uma outra máquina exclusiva para não misturar com o
> cache-dns,
>
> outra coisa, o servidor dns que cuidava do dominio, deixei ele escutando
> apenas nos ips internos da lan, porém quando rodo um tcpdump ainda tem um
> fluxo de muitas linhas trazidas pelo tcpdump, de requisições na porta 53
>
> podem ver aqui http://pastebin.com/xcSkbu9s
> aqui resumido, mas essas linhas correm como se fosse o access.log do squid
> rsrs
>
> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
> coloquei um block para tudo que for entrada de na porta 53 destino o
> servidor dns antigo, porém o fluxo continua...... tem algo bem errado einh?
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini <http://twitter.com/eniomarconcini>
> *
> Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
>
> *"H**ave a trouble with windows: reboot!*
> *Have a trouble with unix: be root!"*
> *
> *
> *"Linux: para aqueles que odeiam o Windows."*
> *"BSD: para aqueles que amam o Unix."*
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list