[GTER] DNS recursivo aberto em clientes

Josivan Barbosa josivan.barbosa01 at gmail.com
Fri Nov 14 02:06:06 -02 2014


Nesse caso especifico do DNS, fazem ataques de amplificação: requisições
pequenas e respostas enormes. Não dá pra fazer orientado à conexão.

O bloqueio abordado aqui é no servidor DNS para evitar que seja utilizado
para ataques. Na vítima, só blackhole mesmo...
Em 13/11/2014 23:46, "Antonio Carlos Pina" <antoniocarlospina at gmail.com>
escreveu:

> Pode usar tcp também, icmp, gre, qualquer coisa.
>
> O objetivo é o flood do link. Pode colocar um bloqueio a all no fw que não
> bloqueará.
>
> Blackhole é uma solução.
>
> Abs
>
>
>
> > Em 13/11/2014, às 21:43, Josivan Barbosa <josivan.barbosa01 at gmail.com>
> escreveu:
> >
> > Como "spoofam" a origem com o ip da vítima, não conseguem estabelecer uma
> > conexão TCP. Por isso usam UDP.
> > Em 12/11/2014 00:54, "Ricardo Rodrigues" <rcr.listas at ig.com.br>
> escreveu:
> >
> >> Bem lembrado do TCP, muito embora estes ataques usem UDP.
> >>
> >> Abs,
> >> Ricardo
> >>
> >> 2014-09-25 9:39 GMT-03:00 Danton Nunes <danton.nunes at inexo.com.br>:
> >>
> >>> On Thu, 25 Sep 2014, Leandro de Lima Camargo wrote:
> >>>
> >>> Bom dia.
> >>>>
> >>>> Você pode criar um filtro pra barrar consultas externas.
> >>>> Uma regra simples seria:
> >>>>
> >>>> /ip firewall filter chain=input in-interface=WAN protocol=udp
> >> dst-port=53
> >>>> action=DROP
> >>>>
> >>>
> >>> e outro para protocol=tcp!
> >>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list