[FUG-BR] evitar dos em dns

Eduardo Schoedler listas em esds.com.br
Segunda Junho 11 10:55:03 BRT 2012 

Em 11/06/2012, às 00:50, Paulo Henrique BSD Brasil <paulo.rddck em bsd.com.br> escreveu:

> 
> 
> Em 10/6/2012 23:27, Anderson Alves de Albuquerque escreveu:
>> sim, mas  os de menores abrangência eu poderia limitar dessa forma. Em
>> alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o
>> link, ai sim procuraria a operadora.
>> 
>> 
>> 
>> 
>> Em 10 de junho de 2012 19:16, Eduardo Schoedler<listas em esds.com.br>escreveu:
>> 
>>> Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque<
>>> andersonaa em gmail.com>  escreveu:
>>>> Eu estava pesquisando de como limitar a tentativa de dos com o PF.
>>> 
>>> DDoS nao eh só controlar a quantidade de consultas por segundo.
>>> 
>>> E se o ataque lotar seu link?
>>> Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes
>>> já cruzáramos já consumiram o seu circuito.
>>> 
>>> Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua
>>> operadora.
>>> 
>>> Abs.
>>> 
>>> --
>>> Eduardo Schoedler
>>> Enviado via iPhone
> 
> 
> Rapaz, ouve a voz da experiência que o Sr. Eduardo possui, se acha mesmo 
> que toda consulta a um domínio que administra é feita no seu servidor, 
> sinto muito informar que não, há tanto DNS cache espalhado a começar 
> pelas operadoras.
> 
> Coloque a seguinte consideração.
> Usuário hosti -> provedor pequeno ( DNS-Cache 1 ) -> Provedor grande ( 
> DNS-Cache 2 ) -> operadora internacional ( DNS-Cache3 ) -> Internet -> 
> sua operadora.
> 
> Como pode ver a chance de limitar ação por tempo de consulta simultâneas 
> em seu DNS é muito insuficiente.
> Contudo, utiliza os IPs no qual fizeram a consulta e colocá-los em 
> blackrole é algo que mistigaria rapidamente a capacidade do DDOS.
> Mais ai haja integração de IDS/IPS/FIREWALL/DNS, contudo ainda dependerá 
> das blackrole.

Só para enriquecer essa thread: esta rolando na NANOG uma thread sobre como montar um servidor DNS recursivo aberto.

http://mailman.nanog.org/pipermail/nanog/2012-June/048984.html

--
Eduardo Schoedler
Enviado via iPhone

Mais detalhes sobre a lista de discussão freebsd