[ITNOG] Router ZyXel usati come amplificatori DDoS?

Marco Marzetti marco@lamehost.it
Lun 8 Apr 2013 16:08:03 CEST


Il giorno ven, 05/04/2013 alle 16.17 +0200, Daniele Orlandi ha scritto:

> On Friday 05 April 2013 15:33:22 Marco d'Itri wrote:
> > On Apr 05, Daniele Orlandi <daniele@orlandi.com> wrote:
> > > Per tamponare, visto che di aggiornare quei catorci non se ne parla, ho
> > > messo dei filtri ma volevo sapere quanto  diffuso il problema...
> > 
> > Tantissimo: i DDoS ad amplificazione via DNS negli ultimi mesi sono
> > diventati molto popolari.
> 
> Lo sto notando anch'io...
> 
> > Vi raccomando di fare una scansione delle vostre reti per
> > cercare resolver promiscui
> 
> Ce li ho tutti su xDSL per fortuna.
> 
> Ora sto vedendo come tamponare... filtrare indiscriminatamente il traffico DNS 
> non lo voglio fare... mettere un firewall stateful neanche... ho messo delle 
> ACL selettive per i clienti "cattivi" che li lasciano parlare solo coi miei 
> resolver.
> 
> Altre idee?
> 
> Ciao,
> 
> -- 
>   Daniele "Vihai" Orlandi
>   Bieco Illuminista #184213
> 


Ciao,

Ma di quanti PPS si tratta?
Vuoi proteggere i BRAS oppure  una questione etica?

In ogni caso, io proverei a limitare con rate-limit la banda
corrispondente ai pacchetti "malevoli" ( i.e. tutto il traffico in input
sulle Vi con sorgente o destinazione la 53 UDP ).

Marco
-------------- parte successiva --------------
Un allegato HTML  stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20130408/f3c79e83/attachment.html>


Maggiori informazioni sulla lista itnog