Bonjour,

Ce type d’attaque par DNS amplification peut se bloquer avec une ACL ou filtre 
Flowspec bien senti car souvent ces attaques on des paquets DNS assez gros et 
fragmentés.
Avec Flowspec tu peux dropper ça en identifiant le trafic DNS fragmenté avec le 
Fragmentation bitmask :
Drop UDP source port 53 AND Fragmentation Bitmask  4 => DNS Initial fragment
Drop UDP source port 53 AND Fragmentation Bitmask  2 => DNS more fragment

Si le routeur a du mal à identifiant avec ACL/Flowspec le trafic fragmenté (le 
cas de certaines versions de routeurs) alors y a toujours la solution de 
dropper les gros paquets DNS (>250 bytes), risque de dropper quelques requêtes 
légitimes : drop proto udp and src port 53 and bytes 250..1500

Par contre si le transit est déjà saturé, uRPF ça peut être compliqué vu le 
nombre important d’IP sources qui en général sur ces attaques « sweeping » qui 
sont des IOT (Botnet Mirai et autres du même genre).

@Mickael, la version Arbor SP/TMS 8.0 qui est sortie y a plus d’un an gère les 
attaques sweeping vector, suffit de configure le knob « Reuse TMS mitigation » 
sous le Managed Object et la même mitigation TMS est réutilisée pour plusieurs 
host sous attaque dans le MO.

A+
--
Reda Nedjar
Consulting Engineer EMEA
Arbor Networks: The security division of NETSCOUT



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à