25/02/2015

www.ietf.org/rfc/rfc5358.txt

RedeGrupodeTrabalhoJ.Damas
PedidodeComentrios:5358ISC
BCP:140F.Neves
Categoria:melhoresprticascorrentesRegistro.br
Outubro2008
PrevenodousodeRecursivosNameserversemataquesRefletores
Statusdopresentememorando
EstedocumentoespecificaumaInternetMelhoresPrticasparaaatual
ComunidadeInternet,esolicitadiscussoesugestespara
melhorias.Adistribuiodestememorandoilimitado.
Resumo
Estedocumentodescrevemaneirasdeprevenirousodepadroconfigurado
servidoresdenomesrecursivacomorefletoresemDenialofService(DoS)
ataques.Elefornececonfiguraorecomendadacomomedidaspara
mitigaroataque.
ndice
1.Introduo.........................2
2.DocumentoTerminologia.....................2
3.Descriodoproblema......................2
4.Configuraorecomendada...................4
5.Consideraesdesegurana....................5
6.Agradecimentos........................5
7.Referncias..........................5
7.1.Refernciasnormativas...................5
7.2.Refernciasinformativo..................6

Damas&Nevesmelhoresprticascorrentes[Page1]
RFC5358PrevenirRec.NSnorefletorAtaquesoutubro2008
1.Introduo

data:text/htmlcharset=utf8,%3Cpre%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontstyle%3A%20normal%3B%20fontvariant

1/7

25/02/2015

www.ietf.org/rfc/rfc5358.txt

Recentemente,DNS[RFC1034]temsidoapontadocomoumfatorimportanteparao
geraodegrandesquantidadesdetrfegoderedeusados
emDenialof

Servio(DoS).Estesataques,chamadosataquesrefletor,so
nodevidoaqualquerfalhaemparticularnaconcepodeDNSouoseu
implementaes,excetoqueDNSdependefortementedeUDP,ofcil
abusodequeestnaorigemdoproblema.Osataquestm
preferencialmenteusadoDNSdevidoaconfiguraespadrocomunsque
permitirafcilutilizaodeservidoresdenomesrecursivaabertasquefazemusode
talconfiguraopadro.
Almdisso,devidoaopequenopotencialderespostadaconsultalargedo
SistemaDNS,fcildeproduzirgrandeamplificaodafonte
trfegocomorefletidotrfegoparaasvtimas.
ServidoresDNSautoritriosquenofornecemrecursoparaclientes
tambmpodeserusadocomoamplificadores;Noentanto,opotencialdeamplificao
muitoreduzidaquandoautoritriaservidoressousados.igualmente
impraticvelpararestringiroacessoaservidoresautorizadosaumsubconjunto
daInternet,umavezqueoseufuncionamentonormaldependedeelesserem
capazdeservirumpblicoamplo;da,asoportunidadesparamitigar
aescaladeumataque,modificandoservidorautoritrio
configuraessolimitados.Recomendaesdestedocumentoso
preocupadocomapenasservidoresdenomesrecursivos.
Nestedocumento,descrevemosascaractersticasdoataquee
recomendarasconfiguraesdeservidorDNSquealiviamespecificamenteo
problemadescrito,enquantoapontaparaanicasoluoreal:o
implantaoemlargaescaladepenetraodefiltragemparaevitarousodefalsificado
EndereosIP[BCP38].
2.DocumentoTerminologia
Aspalavraschave"deve","nodeve","necessrio","dever","no",
"Deveria","nodeve","recomendados","MAIO",e"opcionais"napresente
documentodevemserinterpretadoscomodescritoem[RFC2119].
3.Descriodoproblema
PorqueamaioriadotrfegoDNSaptridapelodesign,uminvasorpode
iniciarumataquedenegaodeserviodaseguinteforma:
1.Oatacantecomeaconfigurandoumregistroemqualquerzonaqueeletem
acesso,normalmentecomgrandeRDATAeTimetoLive(TTL).

Damas&Nevesmelhoresprticascorrentes[Pgina2]
RFC5358PrevenirRec.NSnorefletorAtaquesoutubro2008
2.AproveitandoclientesemredesnoBCP38,oatacante
emseguida,artesanatoumaconsultausandooendereodeorigemdeseualvo
vtimaeenviaparaumservidordenomesrecursivoaberto.
3.Cadaservidordenomesrecursivoabertoprosseguecomaresoluo,
armazenaoregistro,e,finalmente,envialoparaodestino.Depois
Nestaprimeirapesquisa,oacessoaosservidoresdenomesdeautoridade
normalmentenomaisnecessrio.Oregistropermaneceremcacheno
oservidordenomesrecursivoabertoparaaduraodoTTL,mesmo
seeleexcludodazona.
data:text/htmlcharset=utf8,%3Cpre%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontstyle%3A%20normal%3B%20fontvariant

2/7

25/02/2015

www.ietf.org/rfc/rfc5358.txt

4.Limpezadofusopode,dependendodaaplicaoutilizada
noservidordenomesrecursivoaberto,pagarumamaneiradelimparo
armazenadoemcacheregistrodoservidordenomesrecursivoaberto.Issofaria
possivelmenteenvolvemconsultasatraindooservidordenomesrecursivoabertoa
informaodepesquisaparaomesmonomequeestaserutilizadono
amplificao.
Umavezqueascaractersticasdoataquenormalmenteenvolvemumbaixo
volumedepacotes,entretodosostiposdeatores,almdavtima,
improvvelquequalquerumdelesiriaperceberoseuenvolvimentocombaseem
padrodetrfegomuda.
AproveitandosedeumservidordenomesrecursivoabertoquesuportaEDNS0
[RFC2671],ofatordeamplificao(respostapacotedetamanho/query
tamanhodopacote)podeseremtornode80.Comestefactordeamplificao,uma
relativamentepequenoexrcitodeclienteseservidoresdenomesrecursivaaberto
poderia
gerargigabitsdetrfegoemdireovtima.
ComocomprimentocrescentederespostasDNSautoritriosderivado
deimplantaodeDNSSEC[RFC4033]eNAPTRregistrosderecursoscomo
utilizadosemserviosENUM,servidoresautoritriosacabarporsermais
tilcomoatoresdessetipodeataquedeamplificao.
Mesmoqueesteataqueamplificaospossveldevidono
implantaodeBCP38,maisfcildealavancagemporcausadohistrico
razes.QuandoaInterneteraumacomunidademuitomaisunida,alguns
implementaesdeservidordenomesforamdisponibilizadoscompadro
configuraesque,quandousadoparaservidoresdenomesrecursiva,fizerama
servidoracessvelatodososhostsnaInternet.
Duranteanos,estafoiumaconfiguraoconvenienteetil,possibilitando
maiordisponibilidadedeservios.Comoestedocumentotemcomoobjetivofazer
aparente,agoramuitomelhordoqueestarconscientedaprpria
serviosdeservidordenomesefocoaprestaodeserviosna
pblicoalvodessesserviossejamelesumcampusuniversitrio,
umaempresa,ouosclientesdeumISP.Opblicoalvotambm
incluioperadoresdepequenasredesegerentesdeservidoresprivadosque

Damas&Nevesmelhoresprticascorrentes[Pgina3]
RFC5358PrevenirRec.NSnorefletorAtaquesoutubro2008
decidiroperarservidoresdenomescomoobjectivodeoptimizaroseuDNS
servio,umavezqueestessomaispropensosausarasconfiguraespadro,como
enviadoporimplementadores.
4.Configuraorecomendada
Nestaseodescrevemosamelhoresprticascorrentesdeoperao
servidoresdenomesrecursiva.Seguindoessasrecomendaesreduziria
aschancesdequalquerservidordenomerecursivaaserutilizadoparao
geraodeumataquedeamplificao.
Arecomendaogenricaparaosoperadoresdeservidordenomesusaro
meiosfornecidospelaimplementaodeescolhaparafornecerrecursiva
nomedoserviodepesquisaparaapenasosclientespretendidos.Cliente
autorizaogeralmentepodeserfeitodevriasmaneiras:
oendereoIPdeautorizaobaseado.UseoendereoIPdeorigemdo
ConsultasDNSefiltrlosatravsdeumalistadecontroledeacesso(ACL)
paraatenderapenasosclientespretendidos.Istofacilmenteaplicadase
data:text/htmlcharset=utf8,%3Cpre%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontstyle%3A%20normal%3B%20fontvariant

3/7

25/02/2015

www.ietf.org/rfc/rfc5358.txt

readeserviodoservidordenomesrecursivaumIPfixorazoavelmente
intervalodeendereosqueestoprotegidoscontrafalsificaodeendereoexterno,
geralmentearedelocal.
oIncominginterfacedeseleodebase.Useainterfacedeentrada
paraaconsultacomoumdiscriminadorparaselecionarquaisosclientesestoaser
servido.IstodeparticularaplicabilidadeparaSOHO(Small
Equipamentosdeescritrio,HomeOffice),taiscomoroteadoresdebandalargaque
incluirservidoresdenomesrecursivaembutidos.
oTSIG[RFC2845]ouSIG(0)[RFC2931]assinadoconsultasparaautenticar
osclientes.Esteummtodomenospropensoaerroquepermitequeoservidor
operadoresparafornecerserviosaosclientesquemudamdeendereoIP
freqentemente(porexemplo,osclientesderoaming).Adesvantagemdesteactual
mtodoquemuitopoucasimplementaesstubresolvedorapoiarTSIG
ouSIG(0)assinaturadeconsultasdesada.Ousoefetivodesta
mtodoimplica,namaioriadoscasos,executandoumainstncialocaldeum
nameservercachingoudespachantedequesercapazdeassinaroTSIG
consultaseenvilosparaoservidordenomesrecursivadeescolha.
oParaosusuriosmveis,useumservidordenomescachelocalemexecuono
dispositivomvelouusarumaredeprivadavirtualaumsite
servidor.
Emservidoresdenomesquenoprecisaestaroferecendoumserviorecursivo,
paraservidoresdeinstnciaquesedestinamaserautorizadaapenas,volta
recursocompletamente.Emgeral,umaboaidiaparamanter
serviosrecursivaeautoritriaseparartantoquantoprtico.
Isso,claro,dependedecircunstnciaslocais.

Damas&Nevesmelhoresprticascorrentes[Pgina4]
RFC5358PrevenirRec.NSnorefletorAtaquesoutubro2008
Mesmocomtodasessasrecomendaes,osoperadoresderededeveriam
consideraraimplantaodepenetraodefiltragem[BCP38]emroteadorespara
evitarousodefalsificaodeendereocomoumcursodeaovivel.Em
situaesemquemaisconfiguraesderedecomplexasestonolocal",Ingress
Filtrandopordiversasbasesderede"[BCP84]talvezumadicionaltil
referncia.
Porpadro,osservidoresdenomesnodeveoferecerservioderecursivapara
redesexternas.
5.ConsideraesdeSegurana
EstedocumentonocriaquaisquernovasquestesdeseguranaparaoDNS
protocolo,tratasedeumafraquezaemimplementaes.
ImplantaodeSIG(0)aseguranadatransao[RFC2931]deveconsiderar
asadvertnciascomSIG(0)custodeclculo,umavezqueutilizaachavepblica
criptografia,emvezdeaschavessimtricasusadasporTSIG[RFC2845].
Almdisso,aidentificaodasteclasapropriadasprecisasemelhante
comoosmecanismosparaaimplantaodeTSIGou,alternativamente,autilizaode
DNSSEC[RFC4033]assinaturas(RRSIGs)sobreasCHAVERRSsepublicadono
DNS.Este,porsuavez,exigemumagestoadequadadasDNSSEC
ncorasdeconfiana.
6.Agradecimentos
Osautoresgostariamdeagradeceracolaboraoecomentriosteis
deJoeAbley,OlafurGudmundsson,PekkaSavola,AndrewSullivan,e
data:text/htmlcharset=utf8,%3Cpre%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontstyle%3A%20normal%3B%20fontvariant

4/7

25/02/2015

www.ietf.org/rfc/rfc5358.txt

TimPolk.
7.Referncias
7.1.Refernciasnormativas
[RFC1034]"NomesdeDomnioConceitoseRecursos"Mockapetris,P.,
STD13,RFC1034,Novembrode1987.
[RFC2119]Bradner,S.,"palavraschaveparausoemRFCsparaindicar
Nveisrequisito",BCP14,RFC2119,Marode1997.
[RFC2671]Vixie,P.,"MecanismosdeextensoparaDNS(EDNS0)",
RFC2671,Agostode1999.
[RFC2845]Vixie,P.,Gudmundsson,O.,Eastlake,D.,eB.
Wellington,"autenticaodetransaesSecretKeyparaDNS
(TSIG)",RFC2845,Maiode2000.

Damas&Nevesmelhoresprticascorrentes[Pgina5]
RFC5358PrevenirRec.NSnorefletorAtaquesoutubro2008
[RFC2931]Eastlake,D.,"PedidodeDNSeTransaoSignatures
(SIG(0)s)",RFC2931,Setembrode2000.
[RFC4033]Arends,R.,Austein,R.,Larson,M.,Massey,D.,eS.
Rose,"DNSIntroduoeRequisitosdeSegurana",
RFC4033,marode2005.
7.2.Refernciasinformativo
[BCP38]Ferguson,P.eD.Senie",redepenetraofiltragem:
DerrotarataquesdenegaodeservioqueempregamFonteIP
Falsificaodeendereo",BCP38,RFC2827,maiode2000.
[BCP84]Baker,F.eP.Savola,"IngressFilteringparaMultihomed
Networks",BCP84,RFC3704,marode2004.
Autores'Endereos
JooDamas
InternetSystemsConsortium,Inc.
950CartaRua
RedwoodCity,CA94063
EU
Telefone:+16504231300
EMail:Joao_Damas@isc.org
URI:http://www.isc.org/
FredericoACNeves
NIC.br/Registro.br
Av.dasNacoesUnidas,11541,7
SoPaulo,SP04578000
BR
Telefone:+551155093511
EMail:fneves@registro.br
data:text/htmlcharset=utf8,%3Cpre%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontstyle%3A%20normal%3B%20fontvariant

5/7

25/02/2015

www.ietf.org/rfc/rfc5358.txt

URI:http://registro.br/

Damas&Nevesmelhoresprticascorrentes[Pgina6]
RFC5358PrevenirRec.NSnorefletorAtaquesoutubro2008
Copyrightplenaafirmao
Copyright(C)OIETFTrust(2008).
Estedocumentoestsujeitoadireitos,licenaserestries
contidasnoBCP78,eexcetoconformeestabelecidoa,osautores
mantmtodososseusdireitos.
Estedocumentoeasinformaescontidasnestedocumentosofornecidasporuma
"COMOEST"Ocontribuintee,aOrganizaoele/elaRepresenta
Ousejapatrocinadopor(sehouver),asociedadedaInternet,oIETFedeconfiana
AinternetengenhariataskforceREJEITAMTODASASGARANTIAS,EXPRESSA
OUIMPLCITA,INCLUINDO,MASNOSELIMITANDOAQUALQUERGARANTIAQUEOUSODO
ASINFORMAESAQUInoirinfringirquaisquerdireitosouquaisquergarantias
envolvidas
GARANTIASDECOMERCIALIZAOOUADEQUAOAUMDETERMINADOFIM.
PropriedadeIntelectual
OIETFnotomaposiosobreavalidadeoumbitodequalquer
DireitosdePropriedadeIntelectualououtrosdireitosquepodemserreivindicados
dizemrespeitoexecuoouutilizaodatecnologiadescritaem
destedocumentoouamedidaemquequalquerlicenaaoabrigodetaisdireitos
podeounoestardisponvel;nemrepresentaqueeletem
independentefeitoqualqueresforoparaidentificarcadaumdessesdireitos.
Informaes
sobreosprocedimentosnoquedizrespeitoaosdireitosnaRFCdocumentospodemser
BCPencontradasem78eBCP79.
CpiasdosDPIdivulgaesfeitasparaaSecretariaequalquerIETF
garantiasdelicenasaserdisponibilizado,ouoresultadodeuma
tentativadeobterumalicenaouautorizaogeralparaousode
taisdireitosproprietriosouutilizadoresaimplementadoresdopresente
especificaopodeserobtidoapartirdorepositrioDPIIETFonlineem
http://www.ietf.org/ipr.
OIETFconvidaqualquerparteinteressada,paratrazeraoseuconhecimentoqualquer
copyrights,patentesoupedidosdepatentes,ououtrosttulosdepropriedade
direitosquepodemabrangertecnologiaquepossamsernecessriasparaimplementar
estanorma.Porfavor,abordarasinformaesparaoIETFem
ietfipr@ietf.org.

data:text/htmlcharset=utf8,%3Cpre%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontstyle%3A%20normal%3B%20fontvariant

6/7

25/02/2015

www.ietf.org/rfc/rfc5358.txt

Damas&Nevesmelhoresprticascorrentes[Pgina7]

data:text/htmlcharset=utf8,%3Cpre%20style%3D%22color%3A%20rgb(0%2C%200%2C%200)%3B%20fontstyle%3A%20normal%3B%20fontvariant

7/7