[GTER] RES: Flood de requisições DNS quase parando servidor

Nelson Brito nbrito at sekure.org
Sat Sep 22 15:00:21 -03 2012 

Exatamente o que eu disse. Soou estranho?

Nelson Brito
http://about.me/nbrito

"Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae morales ad Lucilium, Lucius Annaeus Seneca)

Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
--
Sent on an  iPhone wireless device. Please, forgive any potential misspellings!

On Sep 22, 2012, at 12:10 PM, Ricardo Rodrigues <rcr.listas at ig.com.br> wrote:

> Nelson,
> 
> O que você quer dizer com "Redefina para utilização de requisições apenas
> TCP"?
> 
> Abs,
> Ricardo
> 
> Em 22 de setembro de 2012 11:36, Nelson Brito <nbrito at sekure.org> escreveu:
> 
>> Meus 2 centavos!
>> 
>> Se as requisições forem através de protocolo UDP, elas podem ser
>> facilmente forjadas e amplificadas. Lembrem-se do SMURF e Fraggle, pois é
>> basicamente o mesmo modelo.
>> 
>> Redefina para utilização de requisições apenas TCP, isso evitará tanto
>> requisições forjadas quanto impedirá uma ação mais efetiva de amplificação
>> - o atacante terá sempre que estabelecer TCP Full-Connect (3-way
>> handshake), e isto não será tão efetivo quanto um ataque através de UDP.
>> 
>> Evite também a recursividade nas requisições, permitindo apenas para as
>> origens que realmente necessitam fazê-las.
>> 
>> Nelson Brito
>> http://about.me/nbrito
>> 
>> "Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae
>> morales ad Lucilium, Lucius Annaeus Seneca)
>> 
>> Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
>> --
>> Sent on an  iPhone wireless device. Please, forgive any potential
>> misspellings!
>> 
>> On Sep 22, 2012, at 10:57 AM, "lscrlstld" <lscrlstld at gmail.com> wrote:
>> 
>>>> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
>>>> coloquei um block para tudo que for entrada de na porta 53 destino o
>>>> servidor dns antigo, porém o fluxo continua...... tem algo bem errado
>>>> einh?
>>> 
>>> Dropar os pacotes pode indicar ao atacante que ele atingiu o objetivo, e
>> que
>>> o DDOS ocorreu.
>>> Vc chegou a ver que tipo de ação o atacante está fazendo? Consulta
>>> recursiva, tentando amplificar o ataque ou envenenar o cachê do DNS? Etc?
>>> 
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list