[ITNOG] Router ZyXel usati come amplificatori DDoS?
Marco Marzetti
marco@lamehost.it
Lun 8 Apr 2013 16:08:03 CEST
Il giorno ven, 05/04/2013 alle 16.17 +0200, Daniele Orlandi ha scritto:
> On Friday 05 April 2013 15:33:22 Marco d'Itri wrote:
> > On Apr 05, Daniele Orlandi <daniele@orlandi.com> wrote:
> > > Per tamponare, visto che di aggiornare quei catorci non se ne parla, ho
> > > messo dei filtri ma volevo sapere quanto è diffuso il problema...
> >
> > Tantissimo: i DDoS ad amplificazione via DNS negli ultimi mesi sono
> > diventati molto popolari.
>
> Lo sto notando anch'io...
>
> > Vi raccomando di fare una scansione delle vostre reti per
> > cercare resolver promiscui
>
> Ce li ho tutti su xDSL per fortuna.
>
> Ora sto vedendo come tamponare... filtrare indiscriminatamente il traffico DNS
> non lo voglio fare... mettere un firewall stateful neanche... ho messo delle
> ACL selettive per i clienti "cattivi" che li lasciano parlare solo coi miei
> resolver.
>
> Altre idee?
>
> Ciao,
>
> --
> Daniele "Vihai" Orlandi
> Bieco Illuminista #184213
>
Ciao,
Ma di quanti PPS si tratta?
Vuoi proteggere i BRAS oppure è una questione etica?
In ogni caso, io proverei a limitare con rate-limit la banda
corrispondente ai pacchetti "malevoli" ( i.e. tutto il traffico in input
sulle Vi con sorgente o destinazione la 53 UDP ).
Marco
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20130408/f3c79e83/attachment.html>
Maggiori informazioni sulla lista
itnog