В документе "DNS Amplification Attacks (http://www.isotf.org/news/DNS-Amplification-Attacks.pdf)" (PDF, 220 Кб) описывается техника нового вида DDoS, атак использованная несколько недель назад для блокирования работы ряда западных ресурсов.
Суть в направлении на множество различных DNS серверов в сети запросов с поддельным обратным адресом (указан адрес жертвы), поток обратных ответов создает волну трафика блокирующего работу жертвы (с участием 150 тыс. DNS серверов был сгенерирован паразитный поток в 2.8 Гбит/сек).
В дополнение к "open proxy", приходит понятие "open resolver". Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.URL: http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
Новость: http://www.opennet.me/opennews/art.shtml?num=7184
>Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.Ну это само-собой, но это не решает проблемы для авторитативного сервера, когда приходит запрос на обслуживаемые им ресурсы.
Для авторитативного надо прежде знать,куда запрос посылать.
А это меняет технику атаки. BTW , кто-нибудь слышал о том,
что в этой атаке учавствовали именно нерекурсивные авторитативные DNS?
Такую атаку пережили в течении недели с 12 октября 2006 года. Поток был около 100 мегабит.
ой не 2006 а 2005
именно так кто-то положил dalnet в свое время
Чего-то я не вкуриваю, у всех что,настроено так, что можно всем ими пользоватся?
Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.
>Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.Ну не любой, а почти любой. При чем с каждым годом кол-во "почти" неизменно уменьшается. Не быстро, но уменьшается.
...Значит я один такой ламер, всем кроме локальных юзеров разрешал.
Гы... наоборот...
Всем запрещал, кроме локалки :)
Мотод-то дедовский, подобная методика еще лет 5 назад была описана в книге "Атака на интернет", основной смысл которой забить канал к жертве.
ребят а никто непробовал от атак спасатся дедовским, и очень зверским методом, типа рестарт inet.d. или кеш днс завести себе
ты суть атаки не уловил? вроде и для ребенка ясно:
посылается на днс сервер запрос, мол дай мне тота, желательно потолще. а src адрес подставляется не свой, а из сети жертвы. и так на тысячи днс серверов одновременно.хотя какой-то извратный метод. все равно нада генерить дохера запросов с кучи компов. проще зомби-сеть натравить...
Сам-то понял что придумал :)Количество ответов от DNS сервера всегда будет = кол-ву запросов.
Т.е. по твоему, (как в примере генерирование 2Gb/s трафыка),
надо каждому DNS серверу послать запрос, только поменять source-IP,
который на отвечающем DNS превратится в destination-IP (жертвы).
Теперь давай представим соотношение Запрос/ответ и платформу клиент/сервер.
По идее самого определения "Сервер" - кол-во ответов сервисов на экспоненту
превышает кол-во запросов, как по трафику так и по кол-ву. Так что, я думаю
нагрузка будет примерно одинаковой, даже скорее DoS наступит на твоей машине.
Другое дело DDoS - но это уже из другой сказки.
Мдааа .... Нонешние линуксоиды грамотеи почище видоводов :( Ты подумай головой, павлинукс, может втыкнеШЪ.
Ну зачем так грубо? Человек просто не знает о способах генерации паразитного трафика за чужой счёт.
Ответ на запрос может превышать в 10 раз длинну запроса. В заметки говориться о DDoS, т.е. группа скомпрометированных машин генерирует к примеру 10 000 пакетов в секуду размером примерно по 30h-40h байт на n серверов. В результате в сторону жертвы генерируется трафик равный 10 00040h*10*n байт в секунду! При этом порт назначения находиться выше 1024 или равен 53 (хотя это не обязательно).Самый простой способ защиты конфигурирование соответствующим образом QoS на последнем коммутаторе (узле)(задание соответствующего максимального уровня dns трафика) в напрвлении жертвы на основании порта источника (53). Хотя если забили канал выше то уже нечего не поможет =). Собственно нечего в этом инновационного нет.
...Дык, и я об этом хотел сказать, только плохо получилось :)
Вот все тут говорят, но я не догоняю, как можно отдать днс только локальным юзерам, если у тебя своя зона, которую ресолвит твой сервер?
1) 2 view в bind: внутренняя и внешняя
2) пользователям из внешней view запретить recursion
Лучше, конечно, DNS держащий зону и кэширующий DNS разнести.
В статье говорится о множителе даже не 10 а 60 =)