[lacnog] Documento sobre configuracion de DNS recursivos

[Eduardo Trápani]

> Un servidor autoritativo que no ofrece recursión va a responder a
> consultas válidas para su zona(s). Es más complejo utilizar un servidor
> autoritativo sin recursión porque el atacante tiene que hacer consultas
> individualizadas para ese servidor

El artículo que citaba Carlos tiene una manera fácil de "atacar".  Con
la dirección de origen falsa, le pedís un "NS .", una consulta que es
pequeña, y la respuesta es ... ¡la lista de root servers!  Y ahí estás
amplificando.

Compará las salidas de un servidor autoritativo de google (niega los hints):

$ dig @ns1.google.com -t ns .

y la de twitter

$ dig @ns1.p34.dynect.net -t ns .

Ahí está la amplificación.

Eduardo.