[lacnog] Documento sobre configuracion de DNS recursivos

Eduardo Trápani etrapani en gmail.com
Lun Abr 1 14:08:19 BRT 2013


> Un servidor autoritativo que no ofrece recursión va a responder a
> consultas válidas para su zona(s). Es más complejo utilizar un servidor
> autoritativo sin recursión porque el atacante tiene que hacer consultas
> individualizadas para ese servidor

El artículo que citaba Carlos tiene una manera fácil de "atacar".  Con
la dirección de origen falsa, le pedís un "NS .", una consulta que es
pequeña, y la respuesta es ... ¡la lista de root servers!  Y ahí estás
amplificando.

Compará las salidas de un servidor autoritativo de google (niega los hints):

$ dig @ns1.google.com -t ns .

y la de twitter

$ dig @ns1.p34.dynect.net -t ns .

Ahí está la amplificación.

Eduardo.



Más información sobre la lista de distribución LACNOG