[FUG-BR] evitar dos em dns

[Eduardo Schoedler]

Em 11 de junho de 2012 11:21, Lucas <lucas_bortolato em hst.com.br> escreveu:

> Seguinte, não adianta você limitar quantidade de consultas, pois
> dependendo da regra que você coloca na rede você caba facilitando o
> flood, por exemplo, você cria uma regra pra x acessos na su rede sem
> dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que
> vai determinar o limite de pacotes que posso enviar e faço o flood
> trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que
> logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que
> os outros clientes acessem.
>
> Tem um pulo do gato:
>
> 1. quando o cliente envia o primeiro SYN, envia também um número de 32
> bits. chamado número de seqüência (vamos chamar de NS-C, número de
> seqüência do cliente)
>
> 2. quando o servidor recebe o SYN, ele também escolhe um NS para si
> (NS-S, número de seqüência do servidor) e devolve o pacote com dois
> números: o seu NS-S e o número de verificação, chamando de ACK
> (diferente do flag, este tem também 32 bits). Este segundo número nada
> mais é do que NS-C+1.
>
> 3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1.
>
> Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma
> autenticação e evite usar +1, use outro numero. Não resolve totalmente
> mas podera ajudar a dificultar o DOS
>
>
E como ficaria um ataque spoof?
E uma rede com muitos computadores?

Não é tão simples quanto parece.

-- 
Eduardo Schoedler