URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 13997
[ Назад ]

Исходное сообщение
"OpenNews: DNS серверы в роли сети для DDoS атак"

Отправлено opennews , 22-Мрт-06 16:58 
В документе "DNS Amplification Attacks (http://www.isotf.org/news/DNS-Amplification-Attacks.pdf)" (PDF, 220 Кб) описывается техника нового вида DDoS, атак использованная несколько недель назад для блокирования работы ряда западных ресурсов.


Суть в направлении на множество различных DNS серверов в сети запросов с поддельным обратным адресом (указан адрес жертвы), поток обратных ответов создает волну трафика блокирующего работу жертвы (с участием 150 тыс. DNS серверов был сгенерирован паразитный поток в 2.8 Гбит/сек).


В дополнение к "open proxy", приходит  понятие "open resolver". Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.

URL: http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
Новость: http://www.opennet.me/opennews/art.shtml?num=7184


Содержание

Сообщения в этом обсуждении
"DNS серверы в роли сети для DDoS атак"
Отправлено John , 22-Мрт-06 16:58 
>Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.

Ну это само-собой, но это не решает проблемы для авторитативного сервера, когда приходит запрос на обслуживаемые им ресурсы.


"DNS серверы в роли сети для DDoS атак"
Отправлено pavel , 22-Мрт-06 17:16 
Для авторитативного надо прежде знать,куда запрос посылать.
А это меняет технику атаки. BTW , кто-нибудь слышал о том,
что в этой атаке учавствовали именно нерекурсивные авторитативные DNS?

"DNS серверы в роли сети для DDoS атак"
Отправлено airman , 22-Мрт-06 17:13 
Такую атаку пережили в течении недели с 12 октября 2006 года. Поток был около 100 мегабит.

"DNS серверы в роли сети для DDoS атак"
Отправлено airman , 22-Мрт-06 17:17 
ой не 2006 а 2005

"DNS серверы в роли сети для DDoS атак"
Отправлено неаноним , 22-Мрт-06 18:58 
именно так кто-то положил dalnet в свое время

"DNS серверы в роли сети для DDoS атак"
Отправлено pavlinux , 22-Мрт-06 22:47 
  Чего-то я не вкуриваю, у всех что,настроено так, что можно всем ими пользоватся?
Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.

"DNS серверы в роли сети для DDoS атак"
Отправлено Аноним , 22-Мрт-06 23:45 
>Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.

Ну не любой, а почти любой. При чем с каждым годом кол-во "почти" неизменно уменьшается. Не быстро, но уменьшается.


"DNS серверы в роли сети для DDoS атак"
Отправлено pavlinux , 22-Мрт-06 23:57 
...Значит я один такой ламер, всем кроме локальных юзеров разрешал.

"DNS серверы в роли сети для DDoS атак"
Отправлено pavlinux , 22-Мрт-06 23:58 
Гы... наоборот...
Всем запрещал, кроме локалки :)

"DNS серверы в роли сети для DDoS атак"
Отправлено Floyd , 23-Мрт-06 08:41 
Мотод-то дедовский, подобная методика еще лет 5 назад была описана в книге "Атака на интернет", основной смысл которой забить канал к жертве.

"DNS серверы в роли сети для DDoS атак"
Отправлено Аноним , 23-Мрт-06 10:38 
ребят а никто непробовал от атак спасатся дедовским, и очень зверским методом, типа рестарт inet.d. или кеш днс завести себе

"DNS серверы в роли сети для DDoS атак"
Отправлено SG , 23-Мрт-06 12:12 
ты суть атаки не уловил? вроде и для ребенка ясно:
посылается на днс сервер запрос, мол дай мне тота, желательно потолще. а src адрес подставляется не свой, а из сети жертвы. и так на тысячи днс серверов одновременно.

хотя какой-то извратный метод. все равно нада генерить дохера запросов с кучи компов. проще зомби-сеть натравить...


"DNS серверы в роли сети для DDoS атак"
Отправлено pavlinux , 23-Мрт-06 12:58 
Сам-то понял что придумал :)

  Количество ответов от DNS сервера всегда будет = кол-ву запросов.
Т.е. по твоему, (как в примере генерирование 2Gb/s трафыка),
надо каждому DNS серверу послать запрос, только поменять source-IP,
который на отвечающем DNS превратится в destination-IP (жертвы).
  Теперь давай представим соотношение Запрос/ответ и платформу клиент/сервер.
По идее самого определения "Сервер" - кол-во ответов сервисов на экспоненту
превышает кол-во запросов, как по трафику так и по кол-ву. Так что, я думаю
нагрузка будет примерно одинаковой, даже скорее DoS наступит на твоей машине.
  Другое дело DDoS - но это уже из другой сказки.


"DNS серверы в роли сети для DDoS атак"
Отправлено Аноним , 23-Мрт-06 17:59 
Мдааа .... Нонешние линуксоиды грамотеи почище видоводов :( Ты подумай головой, павлинукс, может втыкнеШЪ.

"DNS серверы в роли сети для DDoS атак"
Отправлено аноним , 23-Мрт-06 22:06 
Ну зачем так грубо? Человек просто не знает о способах генерации паразитного трафика за чужой счёт.

"DNS серверы в роли сети для DDoS атак"
Отправлено Floyd , 23-Мрт-06 14:06 
Ответ на запрос может превышать в 10 раз длинну запроса. В заметки говориться о DDoS, т.е. группа скомпрометированных машин генерирует к примеру 10 000 пакетов в секуду размером примерно по 30h-40h байт на n серверов. В результате в сторону жертвы генерируется трафик равный 10 00040h*10*n байт в секунду! При этом порт назначения находиться выше 1024 или равен 53 (хотя это не обязательно).

  Самый простой способ защиты конфигурирование соответствующим образом QoS на последнем коммутаторе (узле)(задание соответствующего максимального уровня dns трафика)  в напрвлении жертвы на основании порта источника (53). Хотя если забили канал выше то уже нечего не поможет =).  Собственно нечего в этом инновационного нет.


"DNS серверы в роли сети для DDoS атак"
Отправлено pavlinux , 24-Мрт-06 01:10 
...Дык, и я об этом хотел сказать,  только плохо получилось :)

"DNS серверы в роли сети для DDoS атак"
Отправлено Hawk , 24-Мрт-06 09:31 
Вот все тут говорят, но я не догоняю, как можно отдать днс только локальным юзерам, если у тебя своя зона, которую ресолвит твой сервер?


"DNS серверы в роли сети для DDoS атак"
Отправлено Dimez , 24-Мрт-06 09:43 
1) 2 view в bind: внутренняя и внешняя
2) пользователям из внешней view запретить recursion

"DNS серверы в роли сети для DDoS атак"
Отправлено Dimez , 24-Мрт-06 09:45 
Лучше, конечно, DNS держащий зону и кэширующий DNS разнести.

"DNS серверы в роли сети для DDoS атак"
Отправлено 4yka , 24-Мрт-06 09:25 
В статье говорится о множителе даже не 10 а 60 =)