<div dir="ltr"><div>Un servidor autoritativo que no ofrece recursión va a responder a consultas válidas para su zona(s). Es más complejo utilizar un servidor autoritativo sin recursión porque el atacante tiene que hacer consultas individualizadas para ese servidor, mientras que contra un servidor recursivo el atacante le basta con hacer una consulta sobre cualquier zona. Siempre y cuando la respuesta sea más grande (en octetos) que la consulta inicial, es una amplificación.<br>
<br></div>El problema es que para el administrador de servidores DNS (autoritativos, no recursivos) de un dominio (o dominios) popular es dificil limitar que los servidores DNS sean usados/abusados para un ataque: si las consultas van normalmente de 1K a 10K por segundo, vale la pena establecer un rate-limit de 20K/segundo? <br>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/4/1 Eduardo Trápani <span dir="ltr"><<a href="mailto:etrapani@gmail.com" target="_blank">etrapani@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">> Hay un documento del CERT.br que, si bien es un poco viejo, es muy util<br>
> y da recomendaciones concretas para actuar sobre servidores DNS para<br>
> evitar que se vuelvan una herramienta para atacantes:<br>
<br>
</div>En <a href="http://openresolverproject.org/" target="_blank">http://openresolverproject.org/</a> se lee "Authoritative servers should<br>
not offer recursion, but can still be used in an attack.".<br>
<br>
¿Cuál es la manera de usarlos en ataques si no ofrecen recursión?<br>
<span class="HOEnZb"><font color="#888888"><br>
Eduardo.<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="mailto:lacnog-unsubscribe@lacnic.net">lacnog-unsubscribe@lacnic.net</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Key fingerprint = E6A9 91D9 F47E 8A0B 5A91  DAED 131D CFBC ED36 0956<br>Old fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
</div>