[GTER] RES: Flood de requisições DNS quase parando servidor

Nelson Brito nbrito at sekure.org
Sun Sep 23 10:40:37 -03 2012 

Alguns artigos bem interessantes sobre requisições TCP e UDP:
-http://www.networkworld.com/community/blog/allow-both-tcp-and-udp-port-53-your-dns-serve
- https://groups.google.com/forum/m/?fromgroups#!topic/comp.protocols.dns.bind/yNCB73tU7Zw

Novamente, sugeriria adotar requisições TCP ao invés de UDP. Assim evitaria-se a possibilidade de spoofing nas requisições, pois, desde do caso Minitk vs. Shimomura, não é mais provável ver requisições TCP serem spoofadas na Internet, pois as implementações de ISN ficaram muito mais robustas - e quase impossíveis de serem adivinhadas por amostras. A únicas vezes que vi serem possíveis, TCP spoofing via ISN guessing - foram através de redes locais utilizando-se a ferramenta HUNT.

Mesmo que o atacante adote a postura de executar ataques de flood através de TCP Full-Connect (3-way handshake), seu resultado será inferior ao do UDP.

Você pode estar pensando: "Mas isso abre meu DNS a possibilidade de ser atacado via SYN Flood!". Sim muito provavelmente, caso não seja adotado o SYN Cookie - aconselho a utilizá-lo.

Obviamente esta não é a solução milagrosa para estes ataques, sendo sempre importante adotar outras contra-medidas para mitigar DoS/DDoS.

Nelson Brito
http://about.me/nbrito

"Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae morales ad Lucilium, Lucius Annaeus Seneca)

Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
--
Sent on an  iPad wireless device. Please, forgive any potential misspellings!

On Sep 22, 2012, at 12:10 PM, Ricardo Rodrigues <rcr.listas at ig.com.br> wrote:

> Nelson,
> 
> O que você quer dizer com "Redefina para utilização de requisições apenas
> TCP"?
> 
> Abs,
> Ricardo
> 
> Em 22 de setembro de 2012 11:36, Nelson Brito <nbrito at sekure.org> escreveu:
> 
>> Meus 2 centavos!
>> 
>> Se as requisições forem através de protocolo UDP, elas podem ser
>> facilmente forjadas e amplificadas. Lembrem-se do SMURF e Fraggle, pois é
>> basicamente o mesmo modelo.
>> 
>> Redefina para utilização de requisições apenas TCP, isso evitará tanto
>> requisições forjadas quanto impedirá uma ação mais efetiva de amplificação
>> - o atacante terá sempre que estabelecer TCP Full-Connect (3-way
>> handshake), e isto não será tão efetivo quanto um ataque através de UDP.
>> 
>> Evite também a recursividade nas requisições, permitindo apenas para as
>> origens que realmente necessitam fazê-las.
>> 
>> Nelson Brito
>> http://about.me/nbrito
>> 
>> "Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae
>> morales ad Lucilium, Lucius Annaeus Seneca)
>> 
>> Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
>> --
>> Sent on an  iPhone wireless device. Please, forgive any potential
>> misspellings!
>> 
>> On Sep 22, 2012, at 10:57 AM, "lscrlstld" <lscrlstld at gmail.com> wrote:
>> 
>>>> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
>>>> coloquei um block para tudo que for entrada de na porta 53 destino o
>>>> servidor dns antigo, porém o fluxo continua...... tem algo bem errado
>>>> einh?
>>> 
>>> Dropar os pacotes pode indicar ao atacante que ele atingiu o objetivo, e
>> que
>>> o DDOS ocorreu.
>>> Vc chegou a ver que tipo de ação o atacante está fazendo? Consulta
>>> recursiva, tentando amplificar o ataque ou envenenar o cachê do DNS? Etc?
>>> 
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list