[FUG-BR] evitar dos em dns

Lucas lucas_bortolato em hst.com.br
Segunda Junho 11 11:21:36 BRT 2012 

Seguinte, não adianta você limitar quantidade de consultas, pois 
dependendo da regra que você coloca na rede você caba facilitando o 
flood, por exemplo, você cria uma regra pra x acessos na su rede sem 
dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que 
vai determinar o limite de pacotes que posso enviar e faço o flood 
trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que 
logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que 
os outros clientes acessem.

Tem um pulo do gato:

1. quando o cliente envia o primeiro SYN, envia também um número de 32 
bits. chamado número de seqüência (vamos chamar de NS-C, número de 
seqüência do cliente)

2. quando o servidor recebe o SYN, ele também escolhe um NS para si 
(NS-S, número de seqüência do servidor) e devolve o pacote com dois 
números: o seu NS-S e o número de verificação, chamando de ACK 
(diferente do flag, este tem também 32 bits). Este segundo número nada 
mais é do que NS-C+1.

3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1.

Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma 
autenticação e evite usar +1, use outro numero. Não resolve totalmente 
mas podera ajudar a dificultar o DOS



Em 11/06/2012 10:55, Eduardo Schoedler escreveu:
> Em 11/06/2012, às 00:50, Paulo Henrique BSD Brasil<paulo.rddck em bsd.com.br>  escreveu:
>
>>
>> Em 10/6/2012 23:27, Anderson Alves de Albuquerque escreveu:
>>> sim, mas  os de menores abrangência eu poderia limitar dessa forma. Em
>>> alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o
>>> link, ai sim procuraria a operadora.
>>>
>>>
>>>
>>>
>>> Em 10 de junho de 2012 19:16, Eduardo Schoedler<listas em esds.com.br>escreveu:
>>>
>>>> Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque<
>>>> andersonaa em gmail.com>   escreveu:
>>>>> Eu estava pesquisando de como limitar a tentativa de dos com o PF.
>>>> DDoS nao eh só controlar a quantidade de consultas por segundo.
>>>>
>>>> E se o ataque lotar seu link?
>>>> Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes
>>>> já cruzáramos já consumiram o seu circuito.
>>>>
>>>> Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua
>>>> operadora.
>>>>
>>>> Abs.
>>>>
>>>> --
>>>> Eduardo Schoedler
>>>> Enviado via iPhone
>>
>> Rapaz, ouve a voz da experiência que o Sr. Eduardo possui, se acha mesmo
>> que toda consulta a um domínio que administra é feita no seu servidor,
>> sinto muito informar que não, há tanto DNS cache espalhado a começar
>> pelas operadoras.
>>
>> Coloque a seguinte consideração.
>> Usuário hosti ->  provedor pequeno ( DNS-Cache 1 ) ->  Provedor grande (
>> DNS-Cache 2 ) ->  operadora internacional ( DNS-Cache3 ) ->  Internet ->
>> sua operadora.
>>
>> Como pode ver a chance de limitar ação por tempo de consulta simultâneas
>> em seu DNS é muito insuficiente.
>> Contudo, utiliza os IPs no qual fizeram a consulta e colocá-los em
>> blackrole é algo que mistigaria rapidamente a capacidade do DDOS.
>> Mais ai haja integração de IDS/IPS/FIREWALL/DNS, contudo ainda dependerá
>> das blackrole.
> Só para enriquecer essa thread: esta rolando na NANOG uma thread sobre como montar um servidor DNS recursivo aberto.
>
> http://mailman.nanog.org/pipermail/nanog/2012-June/048984.html
>
> --
> Eduardo Schoedler
> Enviado via iPhone
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd