como eu disse.. randomizar as source ports... e ativar a recursividade somente aos servidores/clients internos.. vaidiminuir as possibilidades de um ataque !!
:) Cristina, veja quais ips que chegam as consultas no seu dns.. e adiciona eles na recursividade.. o bind 9.5.0-P1 ja vem com o patch aplicado.. 2008/7/30 Marcelo Gardini do Amaral <[EMAIL PROTECTED]>: > O buraco é mais embaixo! > > O bug é do protocolo DNS, não do bind. Com randomização das portas de > origem das consultas e do query ID, fica muito difícil um ataque de > envenenamento de cache, mas não impossível. > > Tanto o "bind com patch" quanto o djbdns fazem randomização das portas > de origem. A solução definitiva para o problema do protocolo só vem > com o DNSSEC. E isso o djbdns não suporta. > > Se vocês querem ter uma idéia da possibilidade de um ataque desse tipo > pesquisem por "birthday attack" [1][2]. > > > [1] http://en.wikipedia.org/wiki/Birthday_problem > [2] http://en.wikipedia.org/wiki/Birthday_attack > > > Marcelo > > > > On Wed, Jul 30, 2008 at 04:32:44PM -0300, Eduardo Schoedler wrote: >> Instale o djbdns para isso... parece que ele não foi afetado pelo bug. >> >> Abraço. >> >> >> -------------------------------------------------- >> From: "Marcelo Gardini do Amaral" <[EMAIL PROTECTED]> >> Subject: Re: [FUG-BR]Problema resolvido Falha de DNS está longe de ser >> resolvida >> >> Solução? Desabilitar a recursão resolve o problema, mas aí você vai >> ter que decorar o endereço IP de todos os sites que você acessa :-) >> >> >> Marcelo >> >> >> On Wed, Jul 30, 2008 at 09:13:32AM -0300, [EMAIL PROTECTED] wrote: >> > Segue a solucao pra resolver >> > http://www.vivaolinux.com.br/dica/Desabilitando-DNS-Recursivo/ >> > >> > http://products.secureserver.net/scripts/rdnsfix >> > >> > Agora execute com o comando: >> > >> > # php -c /r rdnsfix >> > >> > Se a resposta for parecido com esta abaixo, parabéns! >> > >> > Checking this file for recursive DNS: /etc/named.conf >> > Nothing to do, recursive DNS is already disabled. >> > >> > >> > >> > >> > >> > >> > >> > > No DNS CACHE também não houve problema: >> > > >> > > "200.X.Y.Z is GREAT: 31 queries in 5.8 seconds from 31 ports with std >> > > dev >> > > 17363.67" >> > > >> > > >> > > >> > >> -----Original Message----- >> > >> From: Aristeu Gil Alves Jr >> > >> Subject: Re: [FUG-BR]Falha de DNS está longe de ser resolvida >> > >> >> > >> Os problemas seriam com os cache resolvers/dns recursivos (dnscache) e >> > >> não com os autoritativos (tinydns). >> > >> >> > >> 2008/7/28 Renato Frederick <[EMAIL PROTECTED]>: >> > >> > Os testes que fiz com meu dns autoritativo rodando DJB, não >> > >> > apresentou >> > >> > falha. >> > >> > >> > >> >> > >> Em princípio, o cache resolver do DJB não tem problema. Claro, tudo >> > >> tem um limite. Com o aumento da banda e do poder computacional, o que >> > >> parecia impossível fica possível. O problema é que o DJB tem ojeriza >> > >> ao DNSSEC. Quando esse dia chegar epero que ele, ou alguma RFC que ele >> > >> goste, apareça pra resolver o problema. Vamos aguardar pra ver. Por >> > >> enquanto estamos bem! >> > >> >> > >> -- >> > >> Aristeu Gil Alves Jr >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Sds. Alexandre J. Correa Onda Internet / OPinguim.net http://www.ondainternet.com.br http://www.opinguim.net ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
