{"id":4309,"date":"2023-06-08T17:06:34","date_gmt":"2023-06-08T14:06:34","guid":{"rendered":"https:\/\/csirt.lacnic.net\/?page_id=4309"},"modified":"2023-06-08T17:06:34","modified_gmt":"2023-06-08T14:06:34","slug":"dns-open-resolvers-em-ipv6","status":"publish","type":"page","link":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6","title":{"rendered":"DNS Open Resolvers em IPv6"},"content":{"rendered":"<div id=\"wrapper-dns-open\"><input id=\"input_ip\" type=\"text\" placeholder=\"Ingrese direcci\u00f3n IPv6\"><button id=\"get-data\">Test<\/button><\/div>\n<div id=\"show-data\"><\/div>\n<div class=\"wrapper-dns-inf\">\n<p>Em conjunto com a \u00e1rea de P&amp;D, o LACNIC CSIRT lan\u00e7a o projeto \u201cResolvedores de DNS abertos \/ DNS Open Resolvers com IPv6\u201d, para conhecer o estado atual da regi\u00e3o, identificar resolvedores abertos e, de forma proativa, alertar e recomendar uma poss\u00edvel corre\u00e7\u00e3o na configura\u00e7\u00e3o deste servi\u00e7o.<\/p>\n<p>Ter resolvedores de DNS abertos \u00e9 bastante prejudicial, tanto para quem deixa o servi\u00e7o aberto quanto para a seguran\u00e7a na internet em geral. Estes servidores s\u00e3o usados como vetor de ataques DDoS por amplifica\u00e7\u00e3o, j\u00e1 que a partir de uma mensagem de consulta pequena pode ser obtida uma resposta muito maior. Desta forma, esse servidor DNS se torna um amplificador de tr\u00e1fego muito poderoso, j\u00e1 que suas consultas amplificadas podem ser direcionadas para um IP espec\u00edfico, que receberia todo esse volume de tr\u00e1fego, causando a indisponibilidade de seus servi\u00e7os. Para este ataque, o hardware n\u00e3o precisa ser controlado pelo atacante.<\/p>\n<p>Um servidor DNS recursivo apenas deveria responder consultas (<em>queries<\/em>) de todos os clientes dentro de sua mesma rede, rejeitando qualquer consulta que venha de fora.<\/p>\n<\/div>\n<p><a name=\"solucionarlo\"><\/a><\/p>\n<h3><i class=\"fa fa-unlock dns-open\"><\/i><br \/>\n<a id=\"incorrecto\"><\/a>Como resolver isso?<\/h3>\n<p>\u00c9 altamente recomend\u00e1vel reconfigurar os servidores e resolvedores de DNS. A seguir, algumas medidas que podem ajudar:<\/p>\n<p><strong>*<\/strong>* O servidor deve responder apenas aos seus clientes e n\u00e3o a consultas de IPs que estejam fora de sua rede (no BIND, isso \u00e9 feito definindo-se um grupo limitado de computadores na regra \u201callow-query\u201d [\u201cpermitir consultas\u201d]). Exemplo:<\/p>\n<div class=\"alert alert-dark\"><em>options {<br \/>\nallow-query {<br \/>\n192.168.196.0\/24;<br \/>\n2001:db8::\/32;<br \/>\nlocalhost;<br \/>\n} \/\/ end of allow-query<br \/>\n} \/\/ end of options<\/em><\/div>\n<p><strong>*<\/strong>  Atender apenas dom\u00ednios que fazem parte da sua zona autoritativa (no BIND, isso \u00e9 feito definindo-se um conjunto limitado de hosts na regra &#8220;allow-query&#8221; para o servidor geral, mas configurando &#8220;allow-query&#8221; como &#8220;any&#8221; para cada zona). Exemplo:<\/p>\n<div class=\"alert alert-dark\"><em>zone \u201cexample.com\u201d{<br \/>\ntype master;<br \/>\nfile \u201cexample.com.db\u201d;<br \/>\nallow-query {<br \/>\n192.168.196.0\/24;<br \/>\n2001:db8::\/32;<br \/>\nlocalhost;<br \/>\n} \/\/ end of allow-query<br \/>\n} \/\/ end of zone example.com<\/em><\/div>\n<p><strong>*<\/strong> No <strong>unbound<\/strong>, pode-se alcan\u00e7ar o mesmo comportamento usando a diretiva access-control (controle de acesso) no arquivo unbound.conf. Ficaria assim:<\/p>\n<div class=\"alert alert-dark\"><em>server:<br \/>\naccess-control: 2001:db8::\/32 allow<\/em><\/div>\n<p>Al\u00e9m disso, se a sua empresa for um ISP, verifique a configura\u00e7\u00e3o de sua rede e n\u00e3o permita que o spoofed traffic (que finge ser de endere\u00e7os IP externos) saia da sua rede. Redes e equipamentos que permitem spoofed traffic (tr\u00e1fego com endere\u00e7os IP falsos) tornam este e outros tipos de ataques poss\u00edveis.<br \/>\n<i class=\"fa fa-lock dns-close\"><\/i><i class=\"fa fa-unlock dns-open\"><\/i><br \/>\n<a name=\"identificar\"><\/a><\/p>\n<div class=\"wrapper-dns-inf\">\n<h3><a id=\"correcto\"><\/a>Como identificar um resolvedor de DNS aberto com IPv6?<\/h3>\n<p>Identificar resolvedores ou servidores de DNS abertos no universo IPv4 \u00e9 muito simples. Como o espa\u00e7o do IPv4 n\u00e3o \u00e9 muito grande (2**32), \u00e9 relativamente f\u00e1cil executar esses testes de endere\u00e7o IPv4 em endere\u00e7os IPv4.<br \/>\nNo universo IPv6, \u00e9 praticamente imposs\u00edvel verificar cada um dos endere\u00e7os IP e executar um teste de resolvedor aberto, uma vez que o teste poderia durar milhares de anos e provavelmente seria de pouca utilidade.<\/p>\n<p>O LACNIC gerencia um servidor chamado Root Server Reverso, especificamente a letra \u201cD\u201d, ou seja, d.ip6-servers.arpa. Um grande n\u00famero de consultas para endere\u00e7os IP inversos da regi\u00e3o do LACNIC \u00e9 feito atrav\u00e9s deste servidor. Em geral, este servidor APENAS recebe consultas de servidores DNS. \u00c9 aqui que os endere\u00e7os IPv6 dos DNS que fazem consultas s\u00e3o obtidos.<\/p>\n<p>A identifica\u00e7\u00e3o \u00e9 feita consultando um nome de dom\u00ednio nos servidores DNS. Caso o servidor DNS responda com uma resposta v\u00e1lida, ser\u00e1 considerado resolvedor aberto. Se, pelo contr\u00e1rio, ele responder com uma rejei\u00e7\u00e3o (\u201cquery refused\u201d) ou se simplesmente apresentar erro de time out, est\u00e1 bem configurado, n\u00e3o sendo portanto um resolvedor aberto.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Test Em conjunto com a \u00e1rea de P&amp;D, o LACNIC CSIRT lan\u00e7a o projeto \u201cResolvedores de DNS abertos \/ DNS Open Resolvers com IPv6\u201d, para conhecer o estado atual da regi\u00e3o, identificar resolvedores abertos e, de forma proativa, alertar e recomendar uma poss\u00edvel corre\u00e7\u00e3o na configura\u00e7\u00e3o deste servi\u00e7o. Ter resolvedores de DNS abertos \u00e9 bastante [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-4309","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>LACNIC CSIRT - DNS Open Resolvers em IPv6<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"LACNIC CSIRT - DNS Open Resolvers em IPv6\" \/>\n<meta property=\"og:description\" content=\"Test Em conjunto com a \u00e1rea de P&amp;D, o LACNIC CSIRT lan\u00e7a o projeto \u201cResolvedores de DNS abertos \/ DNS Open Resolvers com IPv6\u201d, para conhecer o estado atual da regi\u00e3o, identificar resolvedores abertos e, de forma proativa, alertar e recomendar uma poss\u00edvel corre\u00e7\u00e3o na configura\u00e7\u00e3o deste servi\u00e7o. Ter resolvedores de DNS abertos \u00e9 bastante [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6\" \/>\n<meta property=\"og:site_name\" content=\"LACNIC CSIRT\" \/>\n<meta property=\"og:image\" content=\"https:\/\/csirt.lacnic.net\/wp-content\/uploads\/lacnic-csirt-2020.png\" \/>\n\t<meta property=\"og:image:width\" content=\"680\" \/>\n\t<meta property=\"og:image:height\" content=\"330\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:site\" content=\"@lacnic_csirt\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-em-ipv6\",\"url\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-em-ipv6\",\"name\":\"LACNIC CSIRT - DNS Open Resolvers em IPv6\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#website\"},\"datePublished\":\"2023-06-08T14:06:34+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-em-ipv6#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-em-ipv6\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\\\/dns-open-resolvers-em-ipv6#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\\\/\\\/csirt.lacnic.net\\\/pt-br\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"DNS Open Resolvers em IPv6\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#website\",\"url\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/\",\"name\":\"LACNIC CSIRT\",\"description\":\"Centro de Respuestas de Incidentes - LACNIC CSIRT\",\"publisher\":{\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#organization\",\"name\":\"LACNIC CSIRT\",\"url\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/csirt.lacnic.net\\\/wp-content\\\/uploads\\\/lacnic-csirt-2020.png\",\"contentUrl\":\"https:\\\/\\\/csirt.lacnic.net\\\/wp-content\\\/uploads\\\/lacnic-csirt-2020.png\",\"width\":680,\"height\":330,\"caption\":\"LACNIC CSIRT\"},\"image\":{\"@id\":\"https:\\\/\\\/csirt.lacnic.net\\\/en\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/x.com\\\/lacnic_csirt\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"LACNIC CSIRT - DNS Open Resolvers em IPv6","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6","og_locale":"pt_BR","og_type":"article","og_title":"LACNIC CSIRT - DNS Open Resolvers em IPv6","og_description":"Test Em conjunto com a \u00e1rea de P&amp;D, o LACNIC CSIRT lan\u00e7a o projeto \u201cResolvedores de DNS abertos \/ DNS Open Resolvers com IPv6\u201d, para conhecer o estado atual da regi\u00e3o, identificar resolvedores abertos e, de forma proativa, alertar e recomendar uma poss\u00edvel corre\u00e7\u00e3o na configura\u00e7\u00e3o deste servi\u00e7o. Ter resolvedores de DNS abertos \u00e9 bastante [&hellip;]","og_url":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6","og_site_name":"LACNIC CSIRT","og_image":[{"width":680,"height":330,"url":"https:\/\/csirt.lacnic.net\/wp-content\/uploads\/lacnic-csirt-2020.png","type":"image\/png"}],"twitter_card":"summary_large_image","twitter_site":"@lacnic_csirt","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6","url":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6","name":"LACNIC CSIRT - DNS Open Resolvers em IPv6","isPartOf":{"@id":"https:\/\/csirt.lacnic.net\/en\/#website"},"datePublished":"2023-06-08T14:06:34+00:00","breadcrumb":{"@id":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/csirt.lacnic.net\/pt-br\/dns-open-resolvers-em-ipv6#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/csirt.lacnic.net\/pt-br"},{"@type":"ListItem","position":2,"name":"DNS Open Resolvers em IPv6"}]},{"@type":"WebSite","@id":"https:\/\/csirt.lacnic.net\/en\/#website","url":"https:\/\/csirt.lacnic.net\/en\/","name":"LACNIC CSIRT","description":"Centro de Respuestas de Incidentes - LACNIC CSIRT","publisher":{"@id":"https:\/\/csirt.lacnic.net\/en\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/csirt.lacnic.net\/en\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Organization","@id":"https:\/\/csirt.lacnic.net\/en\/#organization","name":"LACNIC CSIRT","url":"https:\/\/csirt.lacnic.net\/en\/","logo":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/csirt.lacnic.net\/en\/#\/schema\/logo\/image\/","url":"https:\/\/csirt.lacnic.net\/wp-content\/uploads\/lacnic-csirt-2020.png","contentUrl":"https:\/\/csirt.lacnic.net\/wp-content\/uploads\/lacnic-csirt-2020.png","width":680,"height":330,"caption":"LACNIC CSIRT"},"image":{"@id":"https:\/\/csirt.lacnic.net\/en\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/x.com\/lacnic_csirt"]}]}},"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/pages\/4309","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/comments?post=4309"}],"version-history":[{"count":0,"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/pages\/4309\/revisions"}],"wp:attachment":[{"href":"https:\/\/csirt.lacnic.net\/pt-br\/wp-json\/wp\/v2\/media?parent=4309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}