DNS sofrendo ataque e caindo
Olá, Pessoal gostaria da opnião de vocês para evitar, ou amenizar ataques no servidor de dns. Pois estou passando por esse problema. Se alguém poderia dar umas dicas. Valeu... PaTricK -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: DNS sofrendo ataque e caindo
Patrick teria como descrever o tipo de ataque, deve ajudar a identificar medidas para conter ou amenizar. 2008/4/9, patrick [EMAIL PROTECTED]: Olá, Pessoal gostaria da opnião de vocês para evitar, ou amenizar ataques no servidor de dns. Pois estou passando por esse problema. Se alguém poderia dar umas dicas. Valeu... PaTricK -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Douglas O homem não teria alcançado o possível se, repetidas vezes, não tivesse tentado o impossível. Max Weber Aquele que obtém uma vitória sobre outros homens é forte, mas aquele que obtém uma vitória sobre si próprio é todo-poderoso. (Lao-Tsé) As mentes são como pára-quedas: só funcionam se estiverem abertas. (Ruth Noeler) Nunca perca a fé na humanidade, pois ela é como um oceano. Só porque existem algumas gotas de água suja nele, não quer dizer que ele esteja sujo por completo. (Ghandi) Preparar o futuro significa fundamentar o presente. (Antoine de Saint-Exupery) Dê um peixe a um homem faminto e você o alimentará por um dia. Ensine-o a pescar, e você o estará alimentando pelo resto da vida. O futuro tem varios nomes: para os fracos, ele é inatingível; para os temerosos, ele é desconhecido; para os corajosos, ele é a chance... Aquele que não luta pelo que quer, não merece oque deseja.
RES: DNS sofrendo ataque e caindo
Que tipo de ateque, tem como vc ser mais preciso ? Israel Ovidio R. Junior === -Mensagem original- De: patrick [mailto:[EMAIL PROTECTED] Enviada em: quarta-feira, 9 de abril de 2008 09:43 Para: debian-user-portuguese@lists.debian.org Assunto: DNS sofrendo ataque e caindo Olá, Pessoal gostaria da opnião de vocês para evitar, ou amenizar ataques no servidor de dns. Pois estou passando por esse problema. Se alguém poderia dar umas dicas. Valeu... PaTricK -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] __ NOD32 3012 (20080409) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com
Re: DNS sofrendo ataque e caindo
Douglas escreveu: patrick escreveu: Pessoal gostaria da opnião de vocês para evitar, ou amenizar ataques no servidor de dns. Pois estou passando por esse problema. Se alguém poderia dar umas dicas. Patrick teria como descrever o tipo de ataque, deve ajudar a identificar medidas para conter ou amenizar. Há a possibilidade dele ter criado um DNS público e esse servidor estar sendo requisitado, portanto não seria um ataque mas sim requisições válidas. Att, Renato
RES: DNS sofrendo ataque e caindo
Fala Patrick, Cara desativa a recursividade do seu BIND e adicione apenas os servidores que possam consultar seu DNS. Outra dica também é usar a opção allow-transfer e especificar apenas o IP do servidor secundário. [ ] , -Mensagem original- De: Israel Junior [mailto:[EMAIL PROTECTED] Enviada em: quarta-feira, 9 de abril de 2008 10:13 Para: debian-user-portuguese@lists.debian.org Assunto: RES: DNS sofrendo ataque e caindo Que tipo de ateque, tem como vc ser mais preciso ? Israel Ovidio R. Junior === -Mensagem original- De: patrick [mailto:[EMAIL PROTECTED] Enviada em: quarta-feira, 9 de abril de 2008 09:43 Para: debian-user-portuguese@lists.debian.org Assunto: DNS sofrendo ataque e caindo Olá, Pessoal gostaria da opnião de vocês para evitar, ou amenizar ataques no servidor de dns. Pois estou passando por esse problema. Se alguém poderia dar umas dicas. Valeu... PaTricK -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] __ NOD32 3012 (20080409) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com
Re: DNS sofrendo ataque e caindo
Meu servidor de dns é um servidor recursivo aberto. Eu não sei especifica exatamente o tipo de ataque mas a maioria do log tinha isso aqui: Apr 9 06:29:26 coelho named[2492]: lame server resolving 'munnari.oz.au' (in 'oz.au'?): 137.39.1.3#53 Apr 9 06:29:26 coelho named[2492]: lame server resolving 'munnari.oz.au' (in 'oz.au'?): 137.39.1.3#53 Apr 9 06:40:07 coelho named[2492]: lame server resolving 'temp1.atnet.com.al' (in 'al'?): 198.6.1.82#53 Apr 9 06:40:07 coelho named[2492]: lame server resolving 'temp2.atnet.com.al' (in 'al'?): 198.6.1.82#53 Apr 9 06:40:07 coelho named[2492]: lame server resolving 'temp2.atnet.com.al' (in 'al'?): 198.6.1.82#53 Apr 9 06:40:07 coelho named[2492]: lame server resolving 'temp1.atnet.com.al' (in 'al'?): 198.6.1.82#53 Apr 9 07:01:06 coelho named[2492]: unexpected RCODE (REFUSED) resolving 'ABTS-KK-Dynamic-197.19.167.122.airtelbroadband.in.com.br/A/IN': 200.217.64.114#53 Apr 9 07:01:06 coelho named[2492]: unexpected RCODE (REFUSED) resolving 'in.com.br//IN': 200.217.64.114#53 Apr 9 07:01:06 coelho named[2492]: unexpected RCODE (REFUSED) resolving 'mail.in.com.br//IN': 200.217.64.114#53 Apr 9 07:02:23 coelho named[2492]: unexpected RCODE (REFUSED) resolving '61.17.167.225.static-mumbai.vsnl.net.in.com.br/A/IN': 200.217.64.114#53 Apr 9 07:02:32 coelho named[2492]: unexpected RCODE (SERVFAIL) resolving 'langmaster.cz/MX/IN': 212.24.128.8#53 Apr 9 07:06:33 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.5#53 Apr 9 07:06:33 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.6#53 Apr 9 07:06:37 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.5#53 Apr 9 07:06:38 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.6#53 Apr 9 07:06:39 coelho named[2492]: unexpected RCODE (REFUSED) resolving 'static187-254.staticcal.vsnl.net.in.com.br/A/IN': 200.217.64.114#53 Apr 9 07:06:45 coelho named[2492]: unexpected RCODE (REFUSED) resolving 'in.com.br//IN': 200.217.64.114#53 Apr 9 07:06:45 coelho named[2492]: unexpected RCODE (REFUSED) resolving 'mail.in.com.br//IN': 200.217.64.114#53 Apr 9 07:06:46 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.5#53 Apr 9 07:06:47 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.6#53 Apr 9 07:07:05 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.5#53 Apr 9 07:07:05 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.6#53 Apr 9 07:07:41 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.5#53 Apr 9 07:07:41 coelho named[2492]: lame server resolving 'nist1-sj.glassey.com' (in 'glassey.com'?): 64.125.79.6#53 Eu queria saber assim de umas configurações padrões para impedir ou amenizar ataques... Valeu pela atenção PaTricK Douglas escreveu: Patrick teria como descrever o tipo de ataque, deve ajudar a identificar medidas para conter ou amenizar. 2008/4/9, patrick [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Olá, Pessoal gostaria da opnião de vocês para evitar, ou amenizar ataques no servidor de dns. Pois estou passando por esse problema. Se alguém poderia dar umas dicas. Valeu... PaTricK -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- Douglas O homem não teria alcançado o possível se, repetidas vezes, não tivesse tentado o impossível. Max Weber Aquele que obtém uma vitória sobre outros homens é forte, mas aquele que obtém uma vitória sobre si próprio é todo-poderoso. (Lao-Tsé) As mentes são como pára-quedas: só funcionam se estiverem abertas. (Ruth Noeler) Nunca perca a fé na humanidade, pois ela é como um oceano. Só porque existem algumas gotas de água suja nele, não quer dizer que ele esteja sujo por completo. (Ghandi) Preparar o futuro significa fundamentar o presente. (Antoine de Saint-Exupery) Dê um peixe a um homem faminto e você o alimentará por um dia. Ensine-o a pescar, e você o estará alimentando pelo resto da vida. O futuro tem varios nomes: para os fracos, ele é inatingível; para os temerosos, ele é desconhecido; para os corajosos, ele é a chance... Aquele que não luta pelo que quer, não merece oque deseja. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: DNS sofrendo ataque e caindo
patrick escreveu: Meu servidor de dns é um servidor recursivo aberto. Tem certeza que você quer ser um DNS aberto para o mundo? Porque você não deixa ele restrito para o SEU domínio? Eu não sei especifica exatamente o tipo de ataque mas a maioria do log tinha isso aqui: Apr 9 06:29:26 coelho named[2492]: lame server resolving 'munnari.oz.au' (in 'oz.au'?): 137.39.1.3#53 Isso não é ataque! http://www.rackaid.com/resources/linux-tutorials/ensim-tutorials/ensim-bind.cfm http://www.redhat.com/archives/redhat-list/2004-March/msg00039.html Att, Renato
Re: DNS sofrendo ataque e caindo
Observe que DNS recursivo aberto pode sofrer ataques de envenenamento de cache. Observe o documento do cert.br que orienta administradores de rede a cuidar deste problema. http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/ On Wed, Apr 09, 2008 at 12:53:18PM -0300, Renato S. Yamane wrote: Date: Wed, 09 Apr 2008 12:53:18 -0300 From: Renato S. Yamane [EMAIL PROTECTED] To: debian-user-portuguese@lists.debian.org User-Agent: Thunderbird 2.0.0.12 (X11/20080213) Subject: Re: DNS sofrendo ataque e caindo patrick escreveu: Meu servidor de dns é um servidor recursivo aberto. Tem certeza que você quer ser um DNS aberto para o mundo? Porque você não deixa ele restrito para o SEU domínio? Eu não sei especifica exatamente o tipo de ataque mas a maioria do log tinha isso aqui: Apr 9 06:29:26 coelho named[2492]: lame server resolving 'munnari.oz.au' (in 'oz.au'?): 137.39.1.3#53 Isso não é ataque! http://www.rackaid.com/resources/linux-tutorials/ensim-tutorials/ensim-bind.cfm http://www.redhat.com/archives/redhat-list/2004-March/msg00039.html Att, Renato -- FRANCISCO APARECIDO DA SILVA - GNU/Linux user:239412 GPG ID:01BC73D6 Home Page http://silva.eti.br E-mail: [EMAIL PROTECTED] -
Re: DNS sofrendo ataque e caindo
Como expliquei eu não sei espexifica o ataque, aconteceu ontem de noite, o bind caiu... e não tenho os logs de ontem. Bom o meu DNS está aberto porque é utilizado em vários clientes nossos, tanto pra internet a rádio até alguns com autenticação adsl. Teria alguma maneira de deixa mais seguro mesmo sendo assim aberto? Vi alguma coisa de dnssec, alguém utiliza? Obrigado! PaTricK Renato S. Yamane escreveu: patrick escreveu: Meu servidor de dns é um servidor recursivo aberto. Tem certeza que você quer ser um DNS aberto para o mundo? Porque você não deixa ele restrito para o SEU domínio? Eu não sei especifica exatamente o tipo de ataque mas a maioria do log tinha isso aqui: Apr 9 06:29:26 coelho named[2492]: lame server resolving 'munnari.oz.au' (in 'oz.au'?): 137.39.1.3#53 Isso não é ataque! http://www.rackaid.com/resources/linux-tutorials/ensim-tutorials/ensim-bind.cfm http://www.redhat.com/archives/redhat-list/2004-March/msg00039.html Att, Renato -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: DNS sofrendo ataque e caindo
Uma lista sobre redes acho que ajuda melhor tem o GTER que é mantido pelo registro.br http://www.gter.br O DNSSEC são as extensões de segurança do DNS, e são aplicados em cada dominio. Para saber um pouco mais sobre DNSSEC veja: http://registro.br/anuncios/20070604.html Então entra na lista do GTER que é voltada somente para essa área de redes, é uma dica. Em 09/04/08, patrick [EMAIL PROTECTED] escreveu: Como expliquei eu não sei espexifica o ataque, aconteceu ontem de noite, o bind caiu... e não tenho os logs de ontem. Bom o meu DNS está aberto porque é utilizado em vários clientes nossos, tanto pra internet a rádio até alguns com autenticação adsl. Teria alguma maneira de deixa mais seguro mesmo sendo assim aberto? Vi alguma coisa de dnssec, alguém utiliza? Obrigado! PaTricK Renato S. Yamane escreveu: patrick escreveu: Meu servidor de dns é um servidor recursivo aberto. Tem certeza que você quer ser um DNS aberto para o mundo? Porque você não deixa ele restrito para o SEU domínio? Eu não sei especifica exatamente o tipo de ataque mas a maioria do log tinha isso aqui: Apr 9 06:29:26 coelho named[2492]: lame server resolving ' munnari.oz.au' (in 'oz.au'?): 137.39.1.3#53 Isso não é ataque! http://www.rackaid.com/resources/linux-tutorials/ensim-tutorials/ensim-bind.cfm http://www.redhat.com/archives/redhat-list/2004-March/msg00039.html Att, Renato -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Douglas O homem não teria alcançado o possível se, repetidas vezes, não tivesse tentado o impossível. Max Weber Aquele que obtém uma vitória sobre outros homens é forte, mas aquele que obtém uma vitória sobre si próprio é todo-poderoso. (Lao-Tsé) As mentes são como pára-quedas: só funcionam se estiverem abertas. (Ruth Noeler) Nunca perca a fé na humanidade, pois ela é como um oceano. Só porque existem algumas gotas de água suja nele, não quer dizer que ele esteja sujo por completo. (Ghandi) Preparar o futuro significa fundamentar o presente. (Antoine de Saint-Exupery) Dê um peixe a um homem faminto e você o alimentará por um dia. Ensine-o a pescar, e você o estará alimentando pelo resto da vida. O futuro tem varios nomes: para os fracos, ele é inatingível; para os temerosos, ele é desconhecido; para os corajosos, ele é a chance... Aquele que não luta pelo que quer, não merece oque deseja.