| 1.1, John (??), 16:58, 22/03/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.
Ну это само-собой, но это не решает проблемы для авторитативного сервера, когда приходит запрос на обслуживаемые им ресурсы.
| | |
| |
| 2.3, pavel (??), 17:16, 22/03/2006 [^] [^^] [^^^] [ответить]
| +/– |
Для авторитативного надо прежде знать,куда запрос посылать.
А это меняет технику атаки. BTW , кто-нибудь слышал о том,
что в этой атаке учавствовали именно нерекурсивные авторитативные DNS?
| | |
|
| 1.2, airman (?), 17:13, 22/03/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Такую атаку пережили в течении недели с 12 октября 2006 года. Поток был около 100 мегабит. | | |
| 1.8, pavlinux (??), 22:47, 22/03/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Чего-то я не вкуриваю, у всех что,настроено так, что можно всем ими пользоватся?
Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред. | | |
| 1.9, Аноним (9), 23:45, 22/03/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.
Ну не любой, а почти любой. При чем с каждым годом кол-во "почти" неизменно уменьшается. Не быстро, но уменьшается.
| | |
| 1.14, Floyd (?), 08:41, 23/03/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Мотод-то дедовский, подобная методика еще лет 5 назад была описана в книге "Атака на интернет", основной смысл которой забить канал к жертве. | | |
| 1.15, Аноним (15), 10:38, 23/03/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 ребят а никто непробовал от атак спасатся дедовским, и очень зверским методом, типа рестарт inet.d. или кеш днс завести себе | | |
| |
| 2.16, SG (??), 12:12, 23/03/2006 [^] [^^] [^^^] [ответить]
| +/– |
ты суть атаки не уловил? вроде и для ребенка ясно:
посылается на днс сервер запрос, мол дай мне тота, желательно потолще. а src адрес подставляется не свой, а из сети жертвы. и так на тысячи днс серверов одновременно.
хотя какой-то извратный метод. все равно нада генерить дохера запросов с кучи компов. проще зомби-сеть натравить... | | |
| |
| 3.17, pavlinux (??), 12:58, 23/03/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Сам-то понял что придумал :)
Количество ответов от DNS сервера всегда будет = кол-ву запросов.
Т.е. по твоему, (как в примере генерирование 2Gb/s трафыка),
надо каждому DNS серверу послать запрос, только поменять source-IP,
который на отвечающем DNS превратится в destination-IP (жертвы).
Теперь давай представим соотношение Запрос/ответ и платформу клиент/сервер.
По идее самого определения "Сервер" - кол-во ответов сервисов на экспоненту
превышает кол-во запросов, как по трафику так и по кол-ву. Так что, я думаю
нагрузка будет примерно одинаковой, даже скорее DoS наступит на твоей машине.
Другое дело DDoS - но это уже из другой сказки. | | |
| |
| 4.19, Аноним (-), 17:59, 23/03/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Мдааа .... Нонешние линуксоиды грамотеи почище видоводов :( Ты подумай головой, павлинукс, может втыкнеШЪ. | | |
| |
| 5.20, аноним (?), 22:06, 23/03/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Ну зачем так грубо? Человек просто не знает о способах генерации паразитного трафика за чужой счёт. | | |
|
|
|
|
| 1.18, Floyd (?), 14:06, 23/03/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Ответ на запрос может превышать в 10 раз длинну запроса. В заметки говориться о DDoS, т.е. группа скомпрометированных машин генерирует к примеру 10 000 пакетов в секуду размером примерно по 30h-40h байт на n серверов. В результате в сторону жертвы генерируется трафик равный 10 00040h*10*n байт в секунду! При этом порт назначения находиться выше 1024 или равен 53 (хотя это не обязательно).
Самый простой способ защиты конфигурирование соответствующим образом QoS на последнем коммутаторе (узле)(задание соответствующего максимального уровня dns трафика) в напрвлении жертвы на основании порта источника (53). Хотя если забили канал выше то уже нечего не поможет =). Собственно нечего в этом инновационного нет. | | |
| |
| |
| 3.23, Hawk (??), 09:31, 24/03/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Вот все тут говорят, но я не догоняю, как можно отдать днс только локальным юзерам, если у тебя своя зона, которую ресолвит твой сервер?
| | |
| |
| 4.24, Dimez (??), 09:43, 24/03/2006 [^] [^^] [^^^] [ответить]
| +/– |
 1) 2 view в bind: внутренняя и внешняя
2) пользователям из внешней view запретить recursion | | |
| |
| 5.25, Dimez (??), 09:45, 24/03/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Лучше, конечно, DNS держащий зону и кэширующий DNS разнести. | | |
|
|
|
|
|
