Hola,
Justo este tipo de comentarios (eg: Jordi, Mauricio) eran los que esperaba.
Me estan haciendo cambiar de opinión.., voy a agregar la idea de RRL al post y no hacer una recomendación tan "drástica".
Mil gracias !!
Saludos,
Alejandro,
El 6/2/19 a las 15:14, Mauricio Vergara Ereche escribió:
Hola Alejandro,
Según mi punto de vista (Y poniéndome los zapatos de un operador de servidores DNS autoritativos) prefiero contestar la mayor cantidad posible de consultas a clientes buenos y malos antes de bloquear a un potencial cliente válido.
Si lo que te preocupa es que tu servidor DNS pueda ser utilizado como amplificador de DDoS, creo que sería mejor utilizar un mecanismo como RRL para combatir ese problema.
El spoofing siento que es una suerte de batalla perdida con UDP en el lado de un servidor... pero el mismo mecanismo de RRL también serviría para evitar atorar a una potencial víctima.
Saludos!
On Wed, Feb 6, 2019 at 5:19 AM Alejandro Acosta <alejandroacostaalamo@gmail.com mailto:alejandroacostaalamo@gmail.com> wrote:
Hola, muy buenos días, Les quería comentar que acabo de publicar el siguiente (muy corto) post: https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/ Basicamente viene de un estudio que venimos realizando en Lacnic que se llama IPv6 Open Resolvers. La conclusión del post es recomendar a los operadores de DNSs Autoritativos a no permitir consultas desde direcciones IPv6 6to4 (2002::/16) porque > 30% de los servidores en estas direcciones son servidores abiertos a la recursividad. Se escuchan opiniones, quejas y cualquier variante positiva o negativa. Saludos, Alejandro, _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl <mailto:dns-esp@listas.nic.cl> https://listas.nic.cl/mailman/listinfo/dns-esp
-- Mauricio Vergara Ereche about.me/mave http://about.me/mave
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp