<html><head></head><body>You seem to be a bit confused about how the attack works. It's not directed at the dnsmasq server.  The attacker uses Spode's traffic to trick dnsmasq into attacking a remote server. DNS replies proceed amplification and anonymity to the attacks. Dropping outgoing DNS replies will prevent the server from being abused.<br>
<br>
On a daily basis I deal with mis configured servers that are attacking my machines. While perimiter defenses are great in theory defense in depth is what you want for real networks<br><br><div class="gmail_quote">Don Muller <don@djmuller.com> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre class="k9mail">I agree with what you are saying but I think you are missing the point of the question. The poster only wanted dnsmasq to respond to certain subnets. The place to do that is not in dnsmasq but at the perimeter. Setting up dnsmasq to not respond does not stop the traffic from coming in, it just stops it from responding. The place to stop any type of attack is at the perimeter and not someplace inside the network. For internal networks don't set up dnsmasq as your DNS resolver and you don't have to tell dnsmasq to not respond.<br /><br />Sent from my iPad<br /><br />Don Muller<br /><br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #729fcf; padding-left: 1ex;">On Nov 29, 2013, at 2:03 PM, Brian Rak <brak@gameservers.com> wrote:<br /><br />Your initial answer seems to assume that if you don't tell anyone about your DNS server, no one will discover it.  That's pretty much wrong.  Every public IP on the internet
  is
going to be probed looking for open DNS servers to abuse multiple times a day.<br /><br />Also, assuming that everyone is in a trusted, internal lan is not a valid assumption.  With various virtualization platforms using dnsmasq for DNS/DHCP, I'd say it's increasingly being used in places where it's directly exposed to the internet.<br /><br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #ad7fa8; padding-left: 1ex;">On 11/29/2013 10:34 AM, Don Muller wrote:<br />Yes if dmsmasq was open to internet but that would not prevent the request from coming in, just from it being answered. The question was how limit dnsmasq to answer DNS queries only to clients of the subnet served by dnsmasq or to a defined subnet. So assuming it is in a controlled environment (internal lan) if you don't setup the other subnets to send requests to dnamasq then it would only receive requests on the subnets you do want to service. Besides why would you want to
  set up
the dns resolver on subnets you were not going to answer? I think the answer to this is better network set up on the client subnets and also at the routers and firewalls.<br /><br />Don<br /><br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #8ae234; padding-left: 1ex;">-----Original Message-----<br />From: Brian Rak [mailto:brak@gameservers.com]<br />Sent: Friday, November 29, 2013 9:45 AM<br />To: Don Muller; dnsmasq-discuss@lists.thekelleys.org.uk<br />Subject: Re: [Dnsmasq-discuss] Limit DNS queries to the local subnet<br />clients<br /><br />That's how you end up with an open DNS resolver, and unwittingly DDOS<br />other machines.<br /><br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #fcaf3e; padding-left: 1ex;">On 11/28/2013 10:52 PM, Don Muller wrote:<br />Wouldn't it be better to not define dnsmasq as the DNS resolver for<br /></blockquote>the subnets you don't want handle.<br
/><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #fcaf3e; padding-left: 1ex;">Sent from my iPad<br /><br />Don Muller<br /><br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #e9b96e; padding-left: 1ex;">On Nov 28, 2013, at 12:26 PM, Ă‰douard Thuleau <thuleau@gmail.com><br /></blockquote></blockquote>wrote:<br /><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #fcaf3e; padding-left: 1ex;"><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #e9b96e; padding-left: 1ex;">Hi,<br /><br />I'm new with dnsmasq and I like to know if we can limit it to answer<br />DNS queries only to clients of the subnet served by dnsmasq or to a<br />defined subnet ?<br /><br />Regards,<br />Édouard.<br /><br /><hr /><br />Dnsmasq-discuss mailing list<br />Dnsmasq-discuss@lists.thekelleys.org.uk<br /><a
href="http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss">http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss</a><br /></blockquote><hr /><br />Dnsmasq-discuss mailing list<br />Dnsmasq-discuss@lists.thekelleys.org.uk<br /><a href="http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss">http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss</a></blockquote><br /><br /></blockquote><hr /><br />Dnsmasq-discuss mailing list<br />Dnsmasq-discuss@lists.thekelleys.org.uk<br /><a href="http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss">http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss</a></blockquote><br /></blockquote></pre></blockquote></div></body></html>