The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: DNS серверы в роли сети для DDoS атак"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: DNS серверы в роли сети для DDoS атак"  
Сообщение от opennews (??) on 22-Мрт-06, 16:58 
В документе "DNS Amplification Attacks (http://www.isotf.org/news/DNS-Amplification-Attacks.pdf)" (PDF, 220 Кб) описывается техника нового вида DDoS, атак использованная несколько недель назад для блокирования работы ряда западных ресурсов.


Суть в направлении на множество различных DNS серверов в сети запросов с поддельным обратным адресом (указан адрес жертвы), поток обратных ответов создает волну трафика блокирующего работу жертвы (с участием 150 тыс. DNS серверов был сгенерирован паразитный поток в 2.8 Гбит/сек).


В дополнение к "open proxy", приходит  понятие "open resolver". Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.

URL: http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
Новость: http://www.opennet.me/opennews/art.shtml?num=7184

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "DNS серверы в роли сети для DDoS атак"  
Сообщение от John (??) on 22-Мрт-06, 16:58 
>Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.

Ну это само-собой, но это не решает проблемы для авторитативного сервера, когда приходит запрос на обслуживаемые им ресурсы.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "DNS серверы в роли сети для DDoS атак"  
Сообщение от pavel (??) on 22-Мрт-06, 17:16 
Для авторитативного надо прежде знать,куда запрос посылать.
А это меняет технику атаки. BTW , кто-нибудь слышал о том,
что в этой атаке учавствовали именно нерекурсивные авторитативные DNS?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "DNS серверы в роли сети для DDoS атак"  
Сообщение от airman email on 22-Мрт-06, 17:13 
Такую атаку пережили в течении недели с 12 октября 2006 года. Поток был около 100 мегабит.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "DNS серверы в роли сети для DDoS атак"  
Сообщение от airman email on 22-Мрт-06, 17:17 
ой не 2006 а 2005
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "DNS серверы в роли сети для DDoS атак"  
Сообщение от неаноним on 22-Мрт-06, 18:58 
именно так кто-то положил dalnet в свое время
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "DNS серверы в роли сети для DDoS атак"  
Сообщение от pavlinux email(??) on 22-Мрт-06, 22:47 
  Чего-то я не вкуриваю, у всех что,настроено так, что можно всем ими пользоватся?
Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "DNS серверы в роли сети для DDoS атак"  
Сообщение от Аноним email on 22-Мрт-06, 23:45 
>Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.

Ну не любой, а почти любой. При чем с каждым годом кол-во "почти" неизменно уменьшается. Не быстро, но уменьшается.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "DNS серверы в роли сети для DDoS атак"  
Сообщение от pavlinux email(??) on 22-Мрт-06, 23:57 
...Значит я один такой ламер, всем кроме локальных юзеров разрешал.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "DNS серверы в роли сети для DDoS атак"  
Сообщение от pavlinux email(??) on 22-Мрт-06, 23:58 
Гы... наоборот...
Всем запрещал, кроме локалки :)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "DNS серверы в роли сети для DDoS атак"  
Сообщение от Floyd on 23-Мрт-06, 08:41 
Мотод-то дедовский, подобная методика еще лет 5 назад была описана в книге "Атака на интернет", основной смысл которой забить канал к жертве.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "DNS серверы в роли сети для DDoS атак"  
Сообщение от Аноним email on 23-Мрт-06, 10:38 
ребят а никто непробовал от атак спасатся дедовским, и очень зверским методом, типа рестарт inet.d. или кеш днс завести себе
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "DNS серверы в роли сети для DDoS атак"  
Сообщение от SG (??) on 23-Мрт-06, 12:12 
ты суть атаки не уловил? вроде и для ребенка ясно:
посылается на днс сервер запрос, мол дай мне тота, желательно потолще. а src адрес подставляется не свой, а из сети жертвы. и так на тысячи днс серверов одновременно.

хотя какой-то извратный метод. все равно нада генерить дохера запросов с кучи компов. проще зомби-сеть натравить...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "DNS серверы в роли сети для DDoS атак"  
Сообщение от pavlinux email(??) on 23-Мрт-06, 12:58 
Сам-то понял что придумал :)

  Количество ответов от DNS сервера всегда будет = кол-ву запросов.
Т.е. по твоему, (как в примере генерирование 2Gb/s трафыка),
надо каждому DNS серверу послать запрос, только поменять source-IP,
который на отвечающем DNS превратится в destination-IP (жертвы).
  Теперь давай представим соотношение Запрос/ответ и платформу клиент/сервер.
По идее самого определения "Сервер" - кол-во ответов сервисов на экспоненту
превышает кол-во запросов, как по трафику так и по кол-ву. Так что, я думаю
нагрузка будет примерно одинаковой, даже скорее DoS наступит на твоей машине.
  Другое дело DDoS - но это уже из другой сказки.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "DNS серверы в роли сети для DDoS атак"  
Сообщение от Аноним on 23-Мрт-06, 17:59 
Мдааа .... Нонешние линуксоиды грамотеи почище видоводов :( Ты подумай головой, павлинукс, может втыкнеШЪ.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

20. "DNS серверы в роли сети для DDoS атак"  
Сообщение от аноним on 23-Мрт-06, 22:06 
Ну зачем так грубо? Человек просто не знает о способах генерации паразитного трафика за чужой счёт.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "DNS серверы в роли сети для DDoS атак"  
Сообщение от Floyd on 23-Мрт-06, 14:06 
Ответ на запрос может превышать в 10 раз длинну запроса. В заметки говориться о DDoS, т.е. группа скомпрометированных машин генерирует к примеру 10 000 пакетов в секуду размером примерно по 30h-40h байт на n серверов. В результате в сторону жертвы генерируется трафик равный 10 00040h*10*n байт в секунду! При этом порт назначения находиться выше 1024 или равен 53 (хотя это не обязательно).

  Самый простой способ защиты конфигурирование соответствующим образом QoS на последнем коммутаторе (узле)(задание соответствующего максимального уровня dns трафика)  в напрвлении жертвы на основании порта источника (53). Хотя если забили канал выше то уже нечего не поможет =).  Собственно нечего в этом инновационного нет.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

21. "DNS серверы в роли сети для DDoS атак"  
Сообщение от pavlinux email(ok) on 24-Мрт-06, 01:10 
...Дык, и я об этом хотел сказать,  только плохо получилось :)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

23. "DNS серверы в роли сети для DDoS атак"  
Сообщение от Hawk (??) on 24-Мрт-06, 09:31 
Вот все тут говорят, но я не догоняю, как можно отдать днс только локальным юзерам, если у тебя своя зона, которую ресолвит твой сервер?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

24. "DNS серверы в роли сети для DDoS атак"  
Сообщение от Dimez email(??) on 24-Мрт-06, 09:43 
1) 2 view в bind: внутренняя и внешняя
2) пользователям из внешней view запретить recursion
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

25. "DNS серверы в роли сети для DDoS атак"  
Сообщение от Dimez email(??) on 24-Мрт-06, 09:45 
Лучше, конечно, DNS держащий зону и кэширующий DNS разнести.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

22. "DNS серверы в роли сети для DDoS атак"  
Сообщение от 4yka on 24-Мрт-06, 09:25 
В статье говорится о множителе даже не 10 а 60 =)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру