[FUG-BR] Problema resolvido Falha de DNS está longe de ser resolvida
Alexandre Correa
alexandre em sabbath.com.br
Quarta Julho 30 17:06:25 BRT 2008
como eu disse.. randomizar as source ports... e ativar a recursividade
somente aos servidores/clients internos.. vaidiminuir as
possibilidades de um ataque !!
:)
Cristina, veja quais ips que chegam as consultas no seu dns.. e
adiciona eles na recursividade.. o bind 9.5.0-P1 ja vem com o patch
aplicado..
2008/7/30 Marcelo Gardini do Amaral <marcelo em registro.br>:
> O buraco é mais embaixo!
>
> O bug é do protocolo DNS, não do bind. Com randomização das portas de
> origem das consultas e do query ID, fica muito difícil um ataque de
> envenenamento de cache, mas não impossível.
>
> Tanto o "bind com patch" quanto o djbdns fazem randomização das portas
> de origem. A solução definitiva para o problema do protocolo só vem
> com o DNSSEC. E isso o djbdns não suporta.
>
> Se vocês querem ter uma idéia da possibilidade de um ataque desse tipo
> pesquisem por "birthday attack" [1][2].
>
>
> [1] http://en.wikipedia.org/wiki/Birthday_problem
> [2] http://en.wikipedia.org/wiki/Birthday_attack
>
>
> Marcelo
>
>
>
> On Wed, Jul 30, 2008 at 04:32:44PM -0300, Eduardo Schoedler wrote:
>> Instale o djbdns para isso... parece que ele não foi afetado pelo bug.
>>
>> Abraço.
>>
>>
>> --------------------------------------------------
>> From: "Marcelo Gardini do Amaral" <marcelo em registro.br>
>> Subject: Re: [FUG-BR]Problema resolvido Falha de DNS está longe de ser
>> resolvida
>>
>> Solução? Desabilitar a recursão resolve o problema, mas aí você vai
>> ter que decorar o endereço IP de todos os sites que você acessa :-)
>>
>>
>> Marcelo
>>
>>
>> On Wed, Jul 30, 2008 at 09:13:32AM -0300, root em zoioroxo.com.br wrote:
>> > Segue a solucao pra resolver
>> > http://www.vivaolinux.com.br/dica/Desabilitando-DNS-Recursivo/
>> >
>> > http://products.secureserver.net/scripts/rdnsfix
>> >
>> > Agora execute com o comando:
>> >
>> > # php -c /r rdnsfix
>> >
>> > Se a resposta for parecido com esta abaixo, parabéns!
>> >
>> > Checking this file for recursive DNS: /etc/named.conf
>> > Nothing to do, recursive DNS is already disabled.
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> > > No DNS CACHE também não houve problema:
>> > >
>> > > "200.X.Y.Z is GREAT: 31 queries in 5.8 seconds from 31 ports with std
>> > > dev
>> > > 17363.67"
>> > >
>> > >
>> > >
>> > >> -----Original Message-----
>> > >> From: Aristeu Gil Alves Jr
>> > >> Subject: Re: [FUG-BR]Falha de DNS está longe de ser resolvida
>> > >>
>> > >> Os problemas seriam com os cache resolvers/dns recursivos (dnscache) e
>> > >> não com os autoritativos (tinydns).
>> > >>
>> > >> 2008/7/28 Renato Frederick <frederick em dahype.org>:
>> > >> > Os testes que fiz com meu dns autoritativo rodando DJB, não
>> > >> > apresentou
>> > >> > falha.
>> > >> >
>> > >>
>> > >> Em princípio, o cache resolver do DJB não tem problema. Claro, tudo
>> > >> tem um limite. Com o aumento da banda e do poder computacional, o que
>> > >> parecia impossível fica possível. O problema é que o DJB tem ojeriza
>> > >> ao DNSSEC. Quando esse dia chegar epero que ele, ou alguma RFC que ele
>> > >> goste, apareça pra resolver o problema. Vamos aguardar pra ver. Por
>> > >> enquanto estamos bem!
>> > >>
>> > >> --
>> > >> Aristeu Gil Alves Jr
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Sds.
Alexandre J. Correa
Onda Internet / OPinguim.net
http://www.ondainternet.com.br
http://www.opinguim.net
Mais detalhes sobre a lista de discussão freebsd