[GTER] Flood de requisições DNS quase parando servidor
Douglas Fischer
fischerdouglas at gmail.com
Sat Sep 22 23:33:39 -03 2012
Você falou em um BSD no meio, que bloqueou e as requisições continuavam a
chegar...
Já considerou o zombie na rede interna, e os requests spoofados partindo de
lá?
Em 22/09/2012 08:38, "Enio Marconcini" <eniorm at gmail.com> escreveu:
> 2012/9/19 Ricardo Rodrigues <rcr.listas at ig.com.br>
>
> > Não sei a opinião dos demais, mas tenho pra mim que DNS é um dos pontos
> > mais frágeis/sensíveis da "Arquitetura Internet" (se não for O mais
> > frágil). Além disso, muito do "senso comum" não se aplica para DNS. E se
> > fizer uma mudança errada, pode demorar um bom tempo até que a correção
> > tenha efeito por causa do cache DNS.
> >
> > Algumas das melhores práticas:
> > - Separe as funções DNS Autoritativo e Recursivo (endereços IP
> diferentes),
> > preferencialmente em servidores diferentes.
> > - Configure o recursivo para aceitar consultas apenas de seus clientes
> > - Mantenha o software DNS atualizado contra vulnerabilidades.
> > - Software DNS de qualidade não requer firewall stateful ou IPS para
> > proteção. Em caso de ataques DDoS/DoS, estes elementos vão cair antes do
> > DNS. Verifique se seu software DNS requer proteção com FW e IPS .
> > - O servidor DNS recebe consultas via UDP E TCP. É comum administradores
> > bloquearem consultas via TCP mas não é o correto.
> > - No caso de autoritativos, tenha um hidden master com alta
> > disponibilidade. Se ele não tiver alta disponibilidade, você não poderá
> > fazer aprovisionamento em caso de falha.
> >
> > Disclaimer: Esta mensagem expressa minha opinião pessoal e é independente
> > do vendor DNS onde trabalho.
> >
> > Abs,
> > Ricardo
> >
> >
> bom pessoal, seguindo as dicas da galera, dei uma arrumada na casa, mudei o
> dns autoritativo para uma outra máquina exclusiva para não misturar com o
> cache-dns,
>
> outra coisa, o servidor dns que cuidava do dominio, deixei ele escutando
> apenas nos ips internos da lan, porém quando rodo um tcpdump ainda tem um
> fluxo de muitas linhas trazidas pelo tcpdump, de requisições na porta 53
>
> podem ver aqui http://pastebin.com/xcSkbu9s
> aqui resumido, mas essas linhas correm como se fosse o access.log do squid
> rsrs
>
> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
> coloquei um block para tudo que for entrada de na porta 53 destino o
> servidor dns antigo, porém o fluxo continua...... tem algo bem errado einh?
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini <http://twitter.com/eniomarconcini>
> *
> Backup na nuvem **com o Dropbox **http://db.tt/VQOkqvvy*
>
> *"H**ave a trouble with windows: reboot!*
> *Have a trouble with unix: be root!"*
> *
> *
> *"Linux: para aqueles que odeiam o Windows."*
> *"BSD: para aqueles que amam o Unix."*
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list