[GTER] RES: DNS amplifiers

Fábio - RJ Network fabio at rjnetwork.com.br
Mon Dec 22 11:29:53 -02 2014


Marcelo

Temos mais de 20 clientes com DNS recursivo aberto sendo explorados para
ataques de DoS. Quase todos são provedores de internet.

Até aí não há problema algum pois os endereços estão sob suas
responsabilidades, inclusive jurídicas, e o limite de utilização da banda é
a contratada, então ele não consome mais banda do que paga.

O problema ocorre quando recebemos o contra-ataque, que são direcionados
justamente para essas redes vuneráveis.

Notificamos todos eles, incluindo um how-to para desativar ou restringir o
acesso. But, no way!

Eu queria é realmente saber o que vocês fazem nesses casos, pois eu não
gostaria de 'radicalizar' como o Lucas.

-- 
Fábio R. Hernandes
RJ Network - Tecnologia Integrada
Fone: (17) 3211 4211
www.rjnetwork.com.br


2014-12-22 10:18 GMT-02:00 marcelo <marcelo at mbgtecnologias.com.br>:

> Bom dia Fábio, temos alguns clientes provedores aqui e geralmente o
> pessoal deixava o DNS na Router deles ativo e aberto na rede, e o upload
> comendo solto. O que fizemos aqui e resolveu foi  monitorando os IPs do
> cliente que apresentavam problemas  e fazemos um filtro do nosso lado
> fechando a porta 53 para que não fique mais disponível para usuários
> externos acessarem.
>
> Sempre orientamos o cliente a desativar o serviço de DNS de seu roteador e
> forçar o seus cliente a pegar nosso DNS que só responde nossos IPs  ou
> externos de confiança e não usar o roteador Mirktoik como servidor DNS.
>
> Foi só assim que resolvemos o problema.
>
>
> Seria esse o problema que está enfrentando ?
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Fábio - RJ Network
> Enviada em: segunda-feira, 22 de dezembro de 2014 09:00
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] DNS amplifiers
>
> Lucas, algum cliente seu é provedor de internet?
>
>
> --
> Fábio R. Hernandes
> RJ Network - Tecnologia Integrada
> Fone: (17) 3211 4211
> www.rjnetwork.com.br
>
>
> 2014-12-19 15:37 GMT-02:00 V. Feitoza <vfeitoza at gmail.com>:
>
> > Lucas,
> >
> > Poderia disponibilizar este termo.
> >
> >
> > Virtual Word - O mundo ao seu alcance.
> > Victor Feitoza
> >
> >
> > Em 19 de dezembro de 2014 13:22, Lucas Willian Bocchi <
> > lucas.bocchi at gmail.com> escreveu:
> >
> > > Eu bloqueio a porta 53 de TODO MUNDO, independente se é corporativo ou
> > > não, e obrigo usar meus dns's internos. Se o cliente quer ter a
> > > escolha de usar seu próprio dns interno ele assina um termozinho de
> > > compromisso no qual eu relato os problemas de ataque, uso de banda com
> > > a amplificação, etc etc etc, e faço o TI dele assinar ou ele mesmo. Em
> > > caso de detecção de problemas, bloqueio imediato novamente e alerta o
> > > cliente.
> > >
> > > Em 19 de dezembro de 2014 11:23, Fábio - RJ Network
> > > <fabio at rjnetwork.com.br> escreveu:
> > > > Temos alguns clientes (99% mikrotik) com DNS aberto que acabam sendo
> > > usados
> > > > para ataques DoS, e o problema é que andamos tomando contra-ataques.
> > > >
> > > > Alguém toma alguma ação em clientes corporativos de link dedicado?
> > > >
> > > > --
> > > > Fábio R. Hernandes
> > > > RJ Network - Tecnologia Integrada
> > > > Fone: (17) 3211 4211
> > > > www.rjnetwork.com.br
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> ---
> Este email está limpo de vírus e malwares porque a proteção do avast!
> Antivírus está ativa.
> http://www.avast.com
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list