[GTER] RES: Flood de requisições DNS quase parando servidor
Nelson Brito
nbrito at sekure.org
Sat Sep 22 15:00:21 -03 2012
Exatamente o que eu disse. Soou estranho?
Nelson Brito
http://about.me/nbrito
"Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae morales ad Lucilium, Lucius Annaeus Seneca)
Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
--
Sent on an iPhone wireless device. Please, forgive any potential misspellings!
On Sep 22, 2012, at 12:10 PM, Ricardo Rodrigues <rcr.listas at ig.com.br> wrote:
> Nelson,
>
> O que você quer dizer com "Redefina para utilização de requisições apenas
> TCP"?
>
> Abs,
> Ricardo
>
> Em 22 de setembro de 2012 11:36, Nelson Brito <nbrito at sekure.org> escreveu:
>
>> Meus 2 centavos!
>>
>> Se as requisições forem através de protocolo UDP, elas podem ser
>> facilmente forjadas e amplificadas. Lembrem-se do SMURF e Fraggle, pois é
>> basicamente o mesmo modelo.
>>
>> Redefina para utilização de requisições apenas TCP, isso evitará tanto
>> requisições forjadas quanto impedirá uma ação mais efetiva de amplificação
>> - o atacante terá sempre que estabelecer TCP Full-Connect (3-way
>> handshake), e isto não será tão efetivo quanto um ataque através de UDP.
>>
>> Evite também a recursividade nas requisições, permitindo apenas para as
>> origens que realmente necessitam fazê-las.
>>
>> Nelson Brito
>> http://about.me/nbrito
>>
>> "Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae
>> morales ad Lucilium, Lucius Annaeus Seneca)
>>
>> Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
>> --
>> Sent on an iPhone wireless device. Please, forgive any potential
>> misspellings!
>>
>> On Sep 22, 2012, at 10:57 AM, "lscrlstld" <lscrlstld at gmail.com> wrote:
>>
>>>> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
>>>> coloquei um block para tudo que for entrada de na porta 53 destino o
>>>> servidor dns antigo, porém o fluxo continua...... tem algo bem errado
>>>> einh?
>>>
>>> Dropar os pacotes pode indicar ao atacante que ele atingiu o objetivo, e
>> que
>>> o DDOS ocorreu.
>>> Vc chegou a ver que tipo de ação o atacante está fazendo? Consulta
>>> recursiva, tentando amplificar o ataque ou envenenar o cachê do DNS? Etc?
>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list