<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.4.4">
</HEAD>
<BODY>
Il giorno ven, 05/04/2013 alle 16.17 +0200, Daniele Orlandi ha scritto:
<BLOCKQUOTE TYPE=CITE>
<PRE>
On Friday 05 April 2013 15:33:22 Marco d'Itri wrote:
> On Apr 05, Daniele Orlandi <<A HREF="mailto:daniele@orlandi.com">daniele@orlandi.com</A>> wrote:
> > Per tamponare, visto che di aggiornare quei catorci non se ne parla, ho
> > messo dei filtri ma volevo sapere quanto è diffuso il problema...
> 
> Tantissimo: i DDoS ad amplificazione via DNS negli ultimi mesi sono
> diventati molto popolari.

Lo sto notando anch'io...

> Vi raccomando di fare una scansione delle vostre reti per
> cercare resolver promiscui

Ce li ho tutti su xDSL per fortuna.

Ora sto vedendo come tamponare... filtrare indiscriminatamente il traffico DNS 
non lo voglio fare... mettere un firewall stateful neanche... ho messo delle 
ACL selettive per i clienti "cattivi" che li lasciano parlare solo coi miei 
resolver.

Altre idee?

Ciao,

-- 
  Daniele "Vihai" Orlandi
  Bieco Illuminista #184213

</PRE>
</BLOCKQUOTE>
<BR>
Ciao,<BR>
<BR>
Ma di quanti PPS si tratta?<BR>
Vuoi proteggere i BRAS oppure è una questione etica?<BR>
<BR>
In ogni caso, io proverei a limitare con rate-limit la banda corrispondente ai pacchetti "malevoli" ( i.e. tutto il traffico in input sulle Vi con sorgente o destinazione la 53 UDP ).<BR>
<BR>
Marco
</BODY>
</HTML>