[GTER] DDoS DNS Reflection attack
Ricardo Rodrigues
rcr.listas at gmail.com
Mon Jun 27 07:39:36 -03 2016
Bom dia.
Este domínio está sendo usado para amplificação por estar assinado com
DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
Se você é a vítima, e parece ser o seu caso, tem que atuar na camada de
rede e roteamento. Apenas certifique-se que as consultas DNS não estão
partindo de sua rede.
Se seu DNS recursivo estivesse recebendo as consultas DNS por esse domínio,
não seria recomendado fazer drop de todas as consultas pois isso pode gerar
impacto a algum usuário que efetivamente queira acessar o domínio. Para
mitigar ataques de amplificação usando domínios não-maliciosos,
recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada" nas
consultas que passarem o limite definido. Isso dá chance para que um
usuário fazendo uma consulta legítima consiga acessar o domínio desejado.
Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente ANY)
ou específico por nome de domínio ou nome de domínio + tipo de consulta.
Isso requer que seu DNS recursivo também limite o número de consultas via
TCP.
Abs,
Ricardo
Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br> escreveu:
> O problema é que ele vai receber o tráfego, para dropar no roteador dele.
> E presumo 24Gb é bem mais do que ele tem de banda.
> !3runo
>
> --Cursos e Consultoria BGP e OSPF
>
> > Alexandre,
> >
> > Basicamente você pode dropar as consultas aos dns atacados.
> > Eu uso regras assim:
> >
> > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
> > --comment "DROP A rd588.com"
> > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
> > --comment "DROP A ps780.com"
> >
> > Note que entre pipes é o contador de caracteres da sequencia.
> > Exemplo com o seu domínio onda.net.br:
> >
> > -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
> >
> > 000001 significa consulta consulta "IN A", ou seja, uma consulta IPv4.
> >
> > Sorte ai.
> >
> > Abs,
> >
> > --
> > Eduardo Schoedler
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list