Bonjour, 2013/7/1 Stephane Bortzmeyer <bortzme...@nic.fr>
> On Mon, Jul 01, 2013 at 09:36:53AM +0200, > Adrien Pestel <pestoui...@gmail.com> wrote > a message of 46 lines which said: > > > Les google et opendns ne sont-ils pas des resolveurs ouverts ? > > Oui. Idem pour l'ODVR de l'OARC < > https://www.dns-oarc.net/oarc/services/odvr> > > > Si oui qu'est-ce qui les différencie techniquement des autres ? > > 1) Ils sont monitorés (et listenoirent rapidement les rigolos, avant > d'envoyer des hélicoptères noirs). > > 2) Ils sont rate-limités (et j'ai testé) > <http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html> > > Bref, un conseil à ceux qui veulent faire une attaque DNS par > réflexion avec résolveurs ouverts : n'utilisez pas ces services. > Pas sur que ce soit efficace, il y a tellement de resolveurs ouverts et ils sont faciles a decouvrir. Au lieu d'envoyer 100% sur 1, tu envoies 1% sur 100 et voila (il y en a plus de 30 millions de resolveurs DNS actifs, et ca continue de monter) :) Si ce ne sont pas des resolveurs DNS recursifs, les mecs pourront de toute facon taper sur des serveurs autoritaires. => Il suffit de prendre des domaines au hasard, de regarder quel est leur serveur autoritaire et s'en servir pour l'attaque. Meme si bind etait patche pour utiliser un systeme de cookie (a la syncookies), ou forcer le fallback en TCP en cas de high-rate, il y de toute facon plein de protocoles favorables a l'amplification (les jeux type Half-Life, Call of Duty..., Bittorent en UDP, SNMP, SIP). Je ne sais meme pas si le rate-limiting est une bonne idee au fond, car elle permettrait en theorie d'empoisonner le cache bien plus facilement. Imaginons: Je suis monsieur Y. J'envoie un flood de requetes de la part de serveur X. 8.8.8.8 fait du rate-limiting sur l'ip du serveur X. => 8.8.8.8 se met donc a ne plus repondre a serveur X Monsieur Y envoie a serveur X des reponses forgees de la part de 8.8.8.8. Certains accords de peering ont des clauses du type: "Peers are expected to filter their clients to reject both unauthorized BGP announcements as well as IP datagrams with invalid source addresses". N'est-ce pas la une des meilleures solutions ? Ca regle le probleme des syn-flood aussi. Arnaud. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
