Le 30 mai 2014 16:30, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit :
> On Fri, May 30, 2014 at 04:14:13PM +0200, > Jean-Yves Bisiaux <j...@efficientip.com> wrote > a message of 96 lines which said: > > > Je disais que les technique de blocage sont tres discutable, dans le sens > > ou celles qui sont automatiques sont dangereuse car basées sur des > > euristiques de statistiques tres/trop simples. > > Je suggère d'essayer de mettre plus de rigueur dans la > discussion. Radu-Adrian Feurdean a fait remarquer à juste titre qu'on > parle ici dans une perspective d'opérateur réseau. Bloquer le DNS dans > le réseau, non, et c'est ce que dit Dobbins. Mais qu'un serveur ne > réponde pas, c'est tout à fait autre chose. Une machine a toujours le > droit de ne pas répondre si ça la gonfle ! > > Peut-être je comprendrai mieux si je savais de quoi on parle ? De > RRL ? > > Pas de RRL qui répond lui, mais des équipements de detection de flooding et de mitigation automatique anti-DDOS. > > Ici tu parles de resolver ouvert, moi je te le refais avec un > > resolver fermé. > > S'il est fermé, aucun problème. Et Dobbins ne cite *aucune* > recommandation concernant ces résolveurs fermés. Il faut lire son > exposé. > > Ok, je vais bien le relire alors. :-) > > Un faux serveur autoritaire (spoofed) flood un serveur recursif > > fermé, tu limites la prise en compte de reponses en dropant des > > paquets sur ton recursif. > > Je ne comprends pas. Si quelqu'un émet une réponse à un récursif, en > se faisant passer pour un serveur faisant autorité, la réponse ne sera > pas acceptée par le récursif (mauvais Query ID, port source, > etc). Aucun besoin de mesure spécifique. > Tu le sais, c'est une approche court terme. Seul DNSSEC aujourd'hui ou d'autres mécanisme actifs garantissent la protections. > > > Regarde la page 7 de ce slide: > > > http://www.ssi.gouv.fr/IMG/pdf/DNS-OARC-2013-Blocking_DNS_Messages_Is_Dangerous.pdf > > Je connais. Je ne suis pas d'accord. Et, de toute façon, ce n'est pas > le cas que vous décrivez, il s'agit dans cet exposé d'un serveur > faisant autorité, et décidant de ne pas répondre à tout (grâce à RRL). > Dans ce document on parle effectivement de l'exploitation d'un serveur faisant l'autorite, mais pour empoisonner un resolveur. Le message general est qu'il ne faut pas bloquer les paquets. Et encore une fois l'empoisonnement du cache n'est qu'un exemple. Le declenchement automatique du bloquage d'une adresse spoofed (resolveur d'un ISP ...) bien choisie serait tres efficace comme acte de malveillance. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
