[GTER] RES: Flood de requisições DNS quase parando servidor
Lucas Willian Bocchi
lucas.bocchi at gmail.com
Sun Sep 23 19:39:47 -03 2012
Sugiri colocar o ip numa blackhole
Em 23/09/2012 15:58, "Nelson Brito" <nbrito at sekure.org> escreveu:
> Alguns artigos bem interessantes sobre requisições TCP e UDP:
> -
> http://www.networkworld.com/community/blog/allow-both-tcp-and-udp-port-53-your-dns-serve
> -
> https://groups.google.com/forum/m/?fromgroups#!topic/comp.protocols.dns.bind/yNCB73tU7Zw
>
> Novamente, sugeriria adotar requisições TCP ao invés de UDP. Assim
> evitaria-se a possibilidade de spoofing nas requisições, pois, desde do
> caso Minitk vs. Shimomura, não é mais provável ver requisições TCP serem
> spoofadas na Internet, pois as implementações de ISN ficaram muito mais
> robustas - e quase impossíveis de serem adivinhadas por amostras. A únicas
> vezes que vi serem possíveis, TCP spoofing via ISN guessing - foram através
> de redes locais utilizando-se a ferramenta HUNT.
>
> Mesmo que o atacante adote a postura de executar ataques de flood através
> de TCP Full-Connect (3-way handshake), seu resultado será inferior ao do
> UDP.
>
> Você pode estar pensando: "Mas isso abre meu DNS a possibilidade de ser
> atacado via SYN Flood!". Sim muito provavelmente, caso não seja adotado o
> SYN Cookie - aconselho a utilizá-lo.
>
> Obviamente esta não é a solução milagrosa para estes ataques, sendo sempre
> importante adotar outras contra-medidas para mitigar DoS/DDoS.
>
> Nelson Brito
> http://about.me/nbrito
>
> "Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae
> morales ad Lucilium, Lucius Annaeus Seneca)
>
> Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
> --
> Sent on an iPad wireless device. Please, forgive any potential
> misspellings!
>
> On Sep 22, 2012, at 12:10 PM, Ricardo Rodrigues <rcr.listas at ig.com.br>
> wrote:
>
> > Nelson,
> >
> > O que você quer dizer com "Redefina para utilização de requisições apenas
> > TCP"?
> >
> > Abs,
> > Ricardo
> >
> > Em 22 de setembro de 2012 11:36, Nelson Brito <nbrito at sekure.org>
> escreveu:
> >
> >> Meus 2 centavos!
> >>
> >> Se as requisições forem através de protocolo UDP, elas podem ser
> >> facilmente forjadas e amplificadas. Lembrem-se do SMURF e Fraggle, pois
> é
> >> basicamente o mesmo modelo.
> >>
> >> Redefina para utilização de requisições apenas TCP, isso evitará tanto
> >> requisições forjadas quanto impedirá uma ação mais efetiva de
> amplificação
> >> - o atacante terá sempre que estabelecer TCP Full-Connect (3-way
> >> handshake), e isto não será tão efetivo quanto um ataque através de UDP.
> >>
> >> Evite também a recursividade nas requisições, permitindo apenas para as
> >> origens que realmente necessitam fazê-las.
> >>
> >> Nelson Brito
> >> http://about.me/nbrito
> >>
> >> "Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae
> >> morales ad Lucilium, Lucius Annaeus Seneca)
> >>
> >> Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
> >> --
> >> Sent on an iPhone wireless device. Please, forgive any potential
> >> misspellings!
> >>
> >> On Sep 22, 2012, at 10:57 AM, "lscrlstld" <lscrlstld at gmail.com> wrote:
> >>
> >>>> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
> >>>> coloquei um block para tudo que for entrada de na porta 53 destino o
> >>>> servidor dns antigo, porém o fluxo continua...... tem algo bem errado
> >>>> einh?
> >>>
> >>> Dropar os pacotes pode indicar ao atacante que ele atingiu o objetivo,
> e
> >> que
> >>> o DDOS ocorreu.
> >>> Vc chegou a ver que tipo de ação o atacante está fazendo? Consulta
> >>> recursiva, tentando amplificar o ataque ou envenenar o cachê do DNS?
> Etc?
> >>>
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list