{"id":4308,"date":"2023-06-08T17:06:30","date_gmt":"2023-06-08T14:06:30","guid":{"rendered":"https:\/\/csirt.lacnic.net\/?page_id=4308"},"modified":"2023-06-08T17:06:31","modified_gmt":"2023-06-08T14:06:31","slug":"dns-open-resolvers-con-ipv4","status":"publish","type":"page","link":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4","title":{"rendered":"DNS Open Resolvers con IPv4"},"content":{"rendered":"\n

O CSIRT do LACNIC, conjuntamente com o CSIRT CEDIA, est\u00e3o pondo em pr\u00e1tica o projeto \u201cDNS Open Resolvers com IPv4\u201d a fim de conhecer o estado atual da regi\u00e3o, identificar os opens resolvers e, de forma proativa, alertar e recomendar uma poss\u00edvel corre\u00e7\u00e3o da configura\u00e7\u00e3o deste servi\u00e7o.<\/p>\n\n\n\n

Ter servidores DNS Open Resolvers \u00e9 muito negativo, tanto para quem deixa o servi\u00e7o aberto quanto para a seguran\u00e7a na Internet em geral. Estes servidores s\u00e3o usados como vetor de ataques de DDoS por amplifica\u00e7\u00e3o, j\u00e1 que a partir de uma mensagem de consulta pequena pode ser obtida uma resposta muito maior. Desta forma, esse servidor DNS se torna um amplificador de tr\u00e1fego muito poderoso, j\u00e1 que suas consultas amplificadas podem ser direcionadas para um IP espec\u00edfico, que receberia todo esse volume de tr\u00e1fego, causando a indisponibilidade de seus servi\u00e7os. Para este ataque, nem \u00e9 necess\u00e1rio que o hardware seja controlado pelo atacante.<\/p>\n\n\n\n

Um servidor DNS recursivo apenas deveria responder consultas (queries) para todos os clientes que estiverem dentro de sua mesma rede, rejeitando qualquer outro que venha de fora.<\/p>\n\n\n\n

Como resolver isso?<\/h3>\n\n\n\n

\u00c9 altamente recomend\u00e1vel reconfigurar os servidores DNS\/Resolver; a seguir, algumas ajudas para faz\u00ea-lo:<\/p>\n\n\n\n

*<\/strong> Deve responder apenas a seus clientes e n\u00e3o responder a consultas de IPs que estejam fora de sua rede [no BIND<\/strong>, isso \u00e9 feito definindo um grupo limitado de computadores na regra \u201callow-query\u201d (\u201cpermitir consultas\u201d)]. No exemplo a seguir, somente as redes 192.168.196.0\/24 e 2001:db8::\/32 poder\u00e3o fazer queries<\/em> (consultas). Pode colocar mais redes separadas por ponto e v\u00edrgula (;):<\/p>\n\n\n\n

options {
allow-query {
192.168.196.0\/24;
2001:db8::\/32;
localhost;
}
}<\/div>\n\n\n\n

*<\/strong> Para servir apenas dom\u00ednios que fazem parte da sua zona autoritativa (no BIND<\/strong>, isso \u00e9 feito definindo um conjunto limitado de hosts na regra “allow-query” para o servidor geral, mas configurando “allow-query” em “any” para cada zona). Exemplo:<\/p>\n\n\n\n

options {
allow-query {
192.168.196.0\/24;
2001:db8::\/32;
localhost;
}
}<\/div>\n\n\n\n
zone \u201cexample.com\u201d{
type master;
file \u201cexample.com.db\u201d;
allow-query { any; };
}
}<\/div>\n\n\n\n

*<\/strong> No unbound<\/strong> pode obter o mesmo comportamento usando a diretiva access-control (controle de acesso) no arquivo unbound.conf. Ficaria da seguinte forma (adicione tantas diretivas de access-control<\/em> quanto redes tiver):<\/p>\n\n\n\n

server:<\/em><\/p>\n\n\n\n

access-control: 192.168.196.0\/24 allow
access-control: 2001:db8::\/32 allow<\/em><\/p>\n\n\n\n

* No caso de equipamentos mikrotik<\/strong>, podemos parar de resolver terceiros desmarcando o checkbox: \u201cpermitir pedidos remotos<\/strong>\u201d:<\/p>\n\n\n\n

Ou desde o painel de controle web do mikrotik vamos para IP\u2192 DNS e desmarcamos<\/strong> \u201cAllow Remote Requests\u201d:<\/p>\n\n\n\n

Al\u00e9m disso, se a sua empresa for um ISP, verifique a configura\u00e7\u00e3o de sua rede e certifique-se de n\u00e3o permitir que o \u201cspoofed traffic\u201d (que pretende ser de endere\u00e7os IP externos) saia da sua rede. As redes e equipamentos que permitem o \u201cspoofed traffic\u201d (tr\u00e1fego com endere\u00e7os IP falsificados) tornam este e outros tipos de ataques poss\u00edveis.<\/p>\n\n\n\n

* Se voc\u00ea usar openwrt<\/strong>, dd-wrt<\/strong> ou um equipamento Linux, possivelmente esteja usando dnsmasq. No caso de dnsmasq a solu\u00e7\u00e3o \u00e9 impedir que pacotes UDP entrem desde a Internet ao porto 53 na nossa interface WAN. Isso pode ser configurado no firewall de seu openwrt\/dd-wrt ou usando iptables no seu equipamento Linux:<\/p>\n\n\n\n

iptables -I INPUT -p udp \u2013dport 53 -j DROP<\/em><\/p>\n\n\n\n

 <\/h3>\n\n\n\n

Como verificar se as minhas altera\u00e7\u00f5es foram efetivas?<\/h3>\n\n\n\n

Depois de fazer as altera\u00e7\u00f5es necess\u00e1rias, voc\u00ea pode acessar https:\/\/openresolver.com\/<\/a> e verificar se o IP que lhe informamos \u00e9 ou n\u00e3o \u00e9 um open resolver.<\/p>\n\n\n\n

Open Resolvers com IPv6<\/h3>\n\n\n\n

Se voc\u00ea tiver Servidores DNS configurados para IPv6 ou dual stack, sugerimos que consulte informa\u00e7\u00f5es e recomenda\u00e7\u00f5es em:<\/p>\n\n\n\n

DNS Open Resolvers em IPv6<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

O CSIRT do LACNIC, conjuntamente com o CSIRT CEDIA, est\u00e3o pondo em pr\u00e1tica o projeto \u201cDNS Open Resolvers com IPv4\u201d a fim de conhecer o estado atual da regi\u00e3o, identificar os opens resolvers e, de forma proativa, alertar e recomendar uma poss\u00edvel corre\u00e7\u00e3o da configura\u00e7\u00e3o deste servi\u00e7o. Ter servidores DNS Open Resolvers \u00e9 muito negativo, […]<\/p>\n","protected":false},"author":3,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-4308","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"\nLACNIC CSIRT - DNS Open Resolvers con IPv4<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"LACNIC CSIRT - DNS Open Resolvers con IPv4\" \/>\n<meta property=\"og:description\" content=\"O CSIRT do LACNIC, conjuntamente com o CSIRT CEDIA, est\u00e3o pondo em pr\u00e1tica o projeto \u201cDNS Open Resolvers com IPv4\u201d a fim de conhecer o estado atual da regi\u00e3o, identificar os opens resolvers e, de forma proativa, alertar e recomendar uma poss\u00edvel corre\u00e7\u00e3o da configura\u00e7\u00e3o deste servi\u00e7o. Ter servidores DNS Open Resolvers \u00e9 muito negativo, […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4\" \/>\n<meta property=\"og:site_name\" content=\"LACNIC CSIRT\" \/>\n<meta property=\"article:modified_time\" content=\"2023-06-08T14:06:31+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/csirt.lacnic.net\/wp-content\/uploads\/lacnic-csirt-2020.png\" \/>\n\t<meta property=\"og:image:width\" content=\"680\" \/>\n\t<meta property=\"og:image:height\" content=\"330\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:site\" content=\"@lacnic_csirt\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-con-ipv4\",\"url\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-con-ipv4\",\"name\":\"LACNIC CSIRT - DNS Open Resolvers con IPv4\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#website\"},\"datePublished\":\"2023-06-08T14:06:30+00:00\",\"dateModified\":\"2023-06-08T14:06:31+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-con-ipv4#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-con-ipv4\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-con-ipv4#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"DNS Open Resolvers con IPv4\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#website\",\"url\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/\",\"name\":\"LACNIC CSIRT\",\"description\":\"Centro de Respuestas de Incidentes - LACNIC CSIRT\",\"publisher\":{\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#organization\",\"name\":\"LACNIC CSIRT\",\"url\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/csirt.lacnic.net\\\/wp-content\\\/uploads\\\/lacnic-csirt-2020.png\",\"contentUrl\":\"https:\\\/\\\/csirt.lacnic.net\\\/wp-content\\\/uploads\\\/lacnic-csirt-2020.png\",\"width\":680,\"height\":330,\"caption\":\"LACNIC CSIRT\"},\"image\":{\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/x.com\\\/lacnic_csirt\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"LACNIC CSIRT - DNS Open Resolvers con IPv4","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4","og_locale":"pt_BR","og_type":"article","og_title":"LACNIC CSIRT - DNS Open Resolvers con IPv4","og_description":"O CSIRT do LACNIC, conjuntamente com o CSIRT CEDIA, est\u00e3o pondo em pr\u00e1tica o projeto \u201cDNS Open Resolvers com IPv4\u201d a fim de conhecer o estado atual da regi\u00e3o, identificar os opens resolvers e, de forma proativa, alertar e recomendar uma poss\u00edvel corre\u00e7\u00e3o da configura\u00e7\u00e3o deste servi\u00e7o. Ter servidores DNS Open Resolvers \u00e9 muito negativo, […]","og_url":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4","og_site_name":"LACNIC CSIRT","article_modified_time":"2023-06-08T14:06:31+00:00","og_image":[{"width":680,"height":330,"url":"https:\/\/csirt.lacnic.net\/wp-content\/uploads\/lacnic-csirt-2020.png","type":"image\/png"}],"twitter_card":"summary_large_image","twitter_site":"@lacnic_csirt","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4","url":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4","name":"LACNIC CSIRT - DNS Open Resolvers con IPv4","isPartOf":{"@id":"https:\/\/csirt.lacnic.net\/en\/#website"},"datePublished":"2023-06-08T14:06:30+00:00","dateModified":"2023-06-08T14:06:31+00:00","breadcrumb":{"@id":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-con-ipv4#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/csirt.lacnic.net\/pt-br"},{"@type":"ListItem","position":2,"name":"DNS Open Resolvers con IPv4"}]},{"@type":"WebSite","@id":"https:\/\/csirt.lacnic.net\/en\/#website","url":"https:\/\/csirt.lacnic.net\/en\/","name":"LACNIC CSIRT","description":"Centro de Respuestas de Incidentes - LACNIC CSIRT","publisher":{"@id":"https:\/\/csirt.lacnic.net\/en\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/csirt.lacnic.net\/en\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Organization","@id":"https:\/\/csirt.lacnic.net\/en\/#organization","name":"LACNIC CSIRT","url":"https:\/\/csirt.lacnic.net\/en\/","logo":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/csirt.lacnic.net\/en\/#\/schema\/logo\/image\/","url":"https:\/\/csirt.lacnic.net\/wp-content\/uploads\/lacnic-csirt-2020.png","contentUrl":"https:\/\/csirt.lacnic.net\/wp-content\/uploads\/lacnic-csirt-2020.png","width":680,"height":330,"caption":"LACNIC CSIRT"},"image":{"@id":"https:\/\/csirt.lacnic.net\/en\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/x.com\/lacnic_csirt"]}]}},"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/pages\/4308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/comments?post=4308"}],"version-history":[{"count":0,"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/pages\/4308\/revisions"}],"wp:attachment":[{"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/media?parent=4308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}