Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos
Autores: Cristine Hoepers, Klaus Steding-Jessen, Nelson Murilo, Rafael R. Obelheiro
Versão: 1.3 -- 03/02/2009
Documento em formato PDF -- (170 KB)
Sumário
* 1. Descrição do Problema * 1.1. Possíveis Riscos * 2. Soluções para o Problema * 2.1. Sistemas Unix com BIND 9 * 2.1.1. Configuração Usando Views * 2.1.2. Configuração Usando Servidores Distintos * 2.2. Servidores Microsoft * 2.2.1. Microsoft DNS * 2.2.2. BIND 9 * 2.3. Mac OS X 10.3 ou Posterior * 3. Sugestões para Mitigação do Problema * 3.1. BIND 9 sem Utilização de Views e BIND 8 * 3.2. Mac OS X 10.3 ou Posterior * 4. Testando seus Servidores * 5. Comentários Adicionais * 6. Características do Ataque de Negação de Serviço Abusando de Servidores DNS Recursivos Abertos * 7. Referências * 8. Agradecimentos * 9. Histórico de Revisões
1. Descrição do Problema
Dois tipos bastante utilizados de servidores DNS (Domain Name System) são o autoritativo e o recursivo, que embora possam ser executados em uma mesma máquina, possuem características distintas: * O autoritativo é responsável por manter os mapas referentes a uma zona local e responder a requisições vindas de máquinas de todo o mundo, que precisarem resolver nomes de domínio da zona sobre a qual este servidor tem autoridade; * O recursivo é responsável por receber as consultas DNS dos clientes locais e consultar os servidores externos, de modo a obter respostas às consultas efetuadas.
Um problema bastante comum de configuração é permitir que qualquer máquina na Internet faça consultas ao servidor DNS recursivo de uma determinada rede. Servidores com esse problema são comumente chamados de servidores DNS recursivos abertos, pois apenas o servidor autoritativo é que deve responder a consultas vindas de máquinas externas.

1.1. Possíveis Riscos