[lacnog] Documento sobre configuracion de DNS recursivos
Nicolás Ruiz
nicoruiz en gmail.com
Lun Abr 1 13:44:49 BRT 2013
Un servidor autoritativo que no ofrece recursión va a responder a consultas
válidas para su zona(s). Es más complejo utilizar un servidor autoritativo
sin recursión porque el atacante tiene que hacer consultas individualizadas
para ese servidor, mientras que contra un servidor recursivo el atacante le
basta con hacer una consulta sobre cualquier zona. Siempre y cuando la
respuesta sea más grande (en octetos) que la consulta inicial, es una
amplificación.
El problema es que para el administrador de servidores DNS (autoritativos,
no recursivos) de un dominio (o dominios) popular es dificil limitar que
los servidores DNS sean usados/abusados para un ataque: si las consultas
van normalmente de 1K a 10K por segundo, vale la pena establecer un
rate-limit de 20K/segundo?
2013/4/1 Eduardo Trápani <etrapani en gmail.com>
> > Hay un documento del CERT.br que, si bien es un poco viejo, es muy util
> > y da recomendaciones concretas para actuar sobre servidores DNS para
> > evitar que se vuelvan una herramienta para atacantes:
>
> En http://openresolverproject.org/ se lee "Authoritative servers should
> not offer recursion, but can still be used in an attack.".
>
> ¿Cuál es la manera de usarlos en ataques si no ofrecen recursión?
>
> Eduardo.
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
--
Key fingerprint = E6A9 91D9 F47E 8A0B 5A91 DAED 131D CFBC ED36 0956
Old fingerprint = CDA7 9892 50F7 22F8 E379 08DA 9A3B 194B D641 C6FF
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20130401/3aeb11a2/attachment.html>
Más información sobre la lista de distribución LACNOG