Vlákno názorů k článku Zabezpečte svůj DNS server od ezdiy - Velice hezky popsano, bohuzel se zda ze autor...
-
ezdiy (neregistrovaný)
Velice hezky popsano, bohuzel se zda ze autor nikdy nebyl tercem podobneho utoku.
DNSSEC amplify je z technickeho pohledu katastrofa. Proste nelze realisticky predpokladat ze vsude budou source filtery, uz jenom proto ze mnoho ISP ma unixove stroje jako router v tranzitnim AS. Na takovem boxu proste z principu rp_filter nelze mit!
A jak takovy utok vubec vypada? V jednu chvili je spamovano nekolik stovek tisic az milionu autoritativnich DNS, ale zdrojem je zpravidla jeden stroj. To znamena ze hashlimit naprosto postrada smysl, protoze pri spravnem provedeni staci poslat amplify boxu 1 paket za 3-5s, trik je samozrejme v tom ze staci spamovat cely internet naraz.
Tyto incidenty bezne dosahuji 50-100GBps, vse z jednoho 1gbe stroje v nejake zapchle akademicke siti.
A jak do toho zapada wikileaks? Inu, Assange rad prehrava ten martyr complex takze nikdo se tam do reseni techto incidentu zrovna nehrne - Nejdriv to preci musi probehnou medii :-).
Hrube (UDP) DDoS utoky lze v dnesni dobe realisticky ustat az do 200GBps (pr0lexic) a nijak drahe to zas neni, 10gbps lze i zdarma (cloudflare) - coz je momentalne to co tam maji.
-
Ondřej CaletkaZlatý podporovatelLimity četnosti dotazů rozhodně smysl mají. Každou chvíli se objeví nějaká adresa, generující stovky dotazů ta sekundu. Ono je to totiž jednodušší, než posílat každý paket jinam. Na vlastní oči jsem ne jednom serveru viděl provoz kolem 1 Mbps dovnitř a 10 Mbps ven. To rozhodně má cenu řešit.
-
ezdiy (neregistrovaný)
Inu, pro tento konkretni utok to nijak nerozporuji. Protoze nebyl proveden spravne, pravdepobone utocnik jel round-robin pres seznam domen, a neresil kolikrat se autoritativni DNS opakuje.
Mam-li se tedy poustet do silenych spekulaci:
Vzal to proste round-robin pres domeny ale uz neresil kolikrat se dana IP kazdeho nameserveru pouzije. Vzhledem k tomu ze CZ ma v absolutnich cislech velmi vysoky podil podepsanych domen, reflektory utoku se staly nasi predni registratori kde je bezne k videni desitky tisic domen per ns.
Ma domenka je stavena na tom ze muj ns ktery hostuje 3 podepsane domeny podobny traffic v mrtg nezaznamenal, ale pomerne velky shared NS hosting (3k domen) uz ano.
PS: Amplify 1:10 odpovida spis "klasickemu" ANY amplify dotazu. DNSSEC ma ratio 1:50-1:100.
-
Ondřej CaletkaZlatý podporovatelPS: Amplify 1:10 odpovida spis "klasickemu" ANY amplify dotazu. DNSSEC ma ratio 1:50-1:100.
Nesmysl, k poměru 1:50 musí být v doméně něco hodně špatně a poměr 1:100 je tak leda laboratorní. DNSSEC dotaz na doménu druhého řádu, typ ANY zabere například 82 B. Odpoveď, obsahující SOA, 3×NS, 1×A, 2×AAAA, 5×SSHFP, 3×DNSKEY (2048+2×1024 bitů), 1×MX, 1×SPF a 1×NSEC3PARAM, k tomu všemu ještě RRSIG podpisy, zabere 3167 B. Zesilovací faktor je tedy cca. 39. Nedokážu si představit realistický případ, kde by k jednomu jménu existovalo ještě víc záznamů, i v tomto případě jsou v doméně některé záznamy ne zcela nezbytné.
