[GTER] DNS Amplification
Lucas Willian Bocchi
lucas.bocchi at gmail.com
Thu Apr 10 11:55:31 -03 2014
Nas operadoras que eu trabalhei requisição com destino a porta 53,5353
ou 553 entrantes sempre foi DROPADA exceto para recursivos /
autoritativos. Se o cliente queria rodar algum servidor DNS poderia
utilizar desde que apontasse pro DNS do provedor e em casos de MUITA
MUITA MUITA necessidade liberava o cara do filtro mas o cara já
assinava um termo de responsabilidade.
Em 10 de abril de 2014 00:42, willian pires
<willian_pires at hotmail.com> escreveu:
> Boa noite a todos,
> Temos um ambiente bem misto somos uma operadora aqui de São Paulo/Vale do Paraíba,e nos últimos dias estamos acompanhando diversos clientes ISP com problemas de DNS Recursivo aberto.
> E mesmo após fechado continuamos vendo que alguns mikroticks com a função dns e "allow remote requests" acabam sendo usados como alvos de amplificação de DNS.Em alguns elementos foi necessário aplicar filtro no firewall das routerboards.
> Bem fizemos uma varredura em todas as classes com nmap + plugin de recursive dns e criamos uma acl no bind e uma rota blackhole em nossos dns para esses clientes até que eles limpem suas redes,de fato funcionou nosso bind saiu de 1800 requisições para o normal de 30/45.
> Gostaria de saber se alguem teve algum evento semelhante nas ultimas 2 semanas e claro se puder compartilhar como tratou essas vulnerabilidades.
> AbraçoWillian.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list