[FUG-BR] evitar dos em dns

[Paulo Henrique BSD Brasil]

Em 10/6/2012 23:27, Anderson Alves de Albuquerque escreveu:
> sim, mas  os de menores abrangência eu poderia limitar dessa forma. Em
> alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o
> link, ai sim procuraria a operadora.
>
>
>
>
> Em 10 de junho de 2012 19:16, Eduardo Schoedler<listas em esds.com.br>escreveu:
>
>> Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque<
>> andersonaa em gmail.com>  escreveu:
>>> Eu estava pesquisando de como limitar a tentativa de dos com o PF.
>>
>> DDoS nao eh só controlar a quantidade de consultas por segundo.
>>
>> E se o ataque lotar seu link?
>> Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes
>> já cruzáramos já consumiram o seu circuito.
>>
>> Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua
>> operadora.
>>
>> Abs.
>>
>> --
>> Eduardo Schoedler
>> Enviado via iPhone


Rapaz, ouve a voz da experiência que o Sr. Eduardo possui, se acha mesmo 
que toda consulta a um domínio que administra é feita no seu servidor, 
sinto muito informar que não, há tanto DNS cache espalhado a começar 
pelas operadoras.

Coloque a seguinte consideração.
Usuário hosti -> provedor pequeno ( DNS-Cache 1 ) -> Provedor grande ( 
DNS-Cache 2 ) -> operadora internacional ( DNS-Cache3 ) -> Internet -> 
sua operadora.

Como pode ver a chance de limitar ação por tempo de consulta simultâneas 
em seu DNS é muito insuficiente.
Contudo, utiliza os IPs no qual fizeram a consulta e colocá-los em 
blackrole é algo que mistigaria rapidamente a capacidade do DDOS.
Mais ai haja integração de IDS/IPS/FIREWALL/DNS, contudo ainda dependerá 
das blackrole.

Fica a dica.
-- 
"Quando a Morte decide contar uma historia,
A melhor ação que possa fazer é ouvi-la,
e torcer por não ser a sua própria a tal história."

Flames > /dev/null ( by Irado !! ).
RIP Irado!

Paulo Henrique.
Analista de Sistemas / Programador
BSDs Brasil.
Genuine Unix/BSD User.
Fone: (21) 9683-5433.