[GTER] RES: Flood de requisições DNS quase parando servidor

Ricardo Rodrigues rcr.listas at ig.com.br
Mon Sep 24 13:26:40 -03 2012 

Boa tarde, Nelson.

Esta discussão está sendo bastante saudável e produtiva.

Sim, soa estranho você sugerir o bloqueio de requisições UDP e permitir
apenas TCP. DNS deve funcionar preferencialmente via UDP.

Protocolos como Radius e DNS usam UDP por questões de desempenho e assim
evitar o overhead com estabelecimento/encerramento das conexões TCP. No
caso de DNS, o uso de TCP é recomendado/neecessário apenas quando a
resposta não couber no pacote UDP.

O próprio artigo que você citou menciona:

a) "However, using UDP messages are preferable to using TCP for large DNS
messages is due to the fact that TCP connections can consume computing
resources for each connection. DNS servers get numerous connections per
second and using TCP can add too much overhead."

b) "DNS resolvers and recursive servers MUST support UDP, and SHOULD
support TCP"

Talvelz você possa esclarecer seu ponto de vista.

Saudações,
Ricardo

Em 23 de setembro de 2012 10:40, Nelson Brito <nbrito at sekure.org> escreveu:

> Alguns artigos bem interessantes sobre requisições TCP e UDP:
> -
> http://www.networkworld.com/community/blog/allow-both-tcp-and-udp-port-53-your-dns-serve
> -
> https://groups.google.com/forum/m/?fromgroups#!topic/comp.protocols.dns.bind/yNCB73tU7Zw
>
> Novamente, sugeriria adotar requisições TCP ao invés de UDP. Assim
> evitaria-se a possibilidade de spoofing nas requisições, pois, desde do
> caso Minitk vs. Shimomura, não é mais provável ver requisições TCP serem
> spoofadas na Internet, pois as implementações de ISN ficaram muito mais
> robustas - e quase impossíveis de serem adivinhadas por amostras. A únicas
> vezes que vi serem possíveis, TCP spoofing via ISN guessing - foram através
> de redes locais utilizando-se a ferramenta HUNT.
>
> Mesmo que o atacante adote a postura de executar ataques de flood através
> de TCP Full-Connect (3-way handshake), seu resultado será inferior ao do
> UDP.
>
> Você pode estar pensando: "Mas isso abre meu DNS a possibilidade de ser
> atacado via SYN Flood!". Sim muito provavelmente, caso não seja adotado o
> SYN Cookie - aconselho a utilizá-lo.
>
> Obviamente esta não é a solução milagrosa para estes ataques, sendo sempre
> importante adotar outras contra-medidas para mitigar DoS/DDoS.
>
> Nelson Brito
> http://about.me/nbrito
>
> "Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae
> morales ad Lucilium, Lucius Annaeus Seneca)
>
> Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
> --
> Sent on an  iPad wireless device. Please, forgive any potential
> misspellings!
>
> On Sep 22, 2012, at 12:10 PM, Ricardo Rodrigues <rcr.listas at ig.com.br>
> wrote:
>
> > Nelson,
> >
> > O que você quer dizer com "Redefina para utilização de requisições apenas
> > TCP"?
> >
> > Abs,
> > Ricardo
> >
> > Em 22 de setembro de 2012 11:36, Nelson Brito <nbrito at sekure.org>
> escreveu:
> >
> >> Meus 2 centavos!
> >>
> >> Se as requisições forem através de protocolo UDP, elas podem ser
> >> facilmente forjadas e amplificadas. Lembrem-se do SMURF e Fraggle, pois
> é
> >> basicamente o mesmo modelo.
> >>
> >> Redefina para utilização de requisições apenas TCP, isso evitará tanto
> >> requisições forjadas quanto impedirá uma ação mais efetiva de
> amplificação
> >> - o atacante terá sempre que estabelecer TCP Full-Connect (3-way
> >> handshake), e isto não será tão efetivo quanto um ataque através de UDP.
> >>
> >> Evite também a recursividade nas requisições, permitindo apenas para as
> >> origens que realmente necessitam fazê-las.
> >>
> >> Nelson Brito
> >> http://about.me/nbrito
> >>
> >> "Quemadmodum gladius neminem occidit, occidentis telum est." (Epistulae
> >> morales ad Lucilium, Lucius Annaeus Seneca)
> >>
> >> Fingerprint: 1983 7E8E D6C9 CAF8 4B4F A8C9 A36D FC5B 4FFC 316C
> >> --
> >> Sent on an  iPhone wireless device. Please, forgive any potential
> >> misspellings!
> >>
> >> On Sep 22, 2012, at 10:57 AM, "lscrlstld" <lscrlstld at gmail.com> wrote:
> >>
> >>>> tem um servidor freebsd antes de chegar nesse servidor, com o pf eu
> >>>> coloquei um block para tudo que for entrada de na porta 53 destino o
> >>>> servidor dns antigo, porém o fluxo continua...... tem algo bem errado
> >>>> einh?
> >>>
> >>> Dropar os pacotes pode indicar ao atacante que ele atingiu o objetivo,
> e
> >> que
> >>> o DDOS ocorreu.
> >>> Vc chegou a ver que tipo de ação o atacante está fazendo? Consulta
> >>> recursiva, tentando amplificar o ataque ou envenenar o cachê do DNS?
> Etc?
> >>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list