Re: [FRnOG] Re: [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Frédéric GANDER]

> 
> Oui, c'est une violation du protocole.

mettre une ttl 1 seconde 
enchainer 3 cname
et retourner 50 entrees
voir remonter des stats via des requette txt non répondu 
c'est aussi tordre le protocol  heim :)

> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Frédéric GANDER]

- Mail original -
> De: "Stephane Bortzmeyer" 
> À: "Frédéric GANDER" 
> Cc: "Pierre Colombier" , frnog@frnog.org
> Envoyé: Samedi 19 Novembre 2016 22:15:19
> Objet: Re: [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui 
> gèrent le DNS chez Orange.
> 
> On Sat, Nov 19, 2016 at 12:28:53PM +0100,
>  Frédéric GANDER  wrote
>  a message of 31 lines which said:
> 
> > > > il est important que ton résolveur n'écoute pas sur l'ip
> > > publique.  Sinon tu va te retrouver dans les listes d'attaques
> > > par
> > > amplification DNS.
> 
> > c'est quoi le rapport ?
> 
> C'est pas idiot du tout (toutes les bonnes boxes font ça). Il y a
> deux
> façons d'éviter d'être un résolveur ouvert
> , cette technique, et des ACL où
> on n'accepte que ses clients connus.
> 
> 


oui donc je redis
c'est quoi le rapport ?

soit tu install un pc dans ton lan derrier ta box/nat/patacoufin  pour faire 
recurseur et tu n'a pas d'ip publique
soit tu install un dns recruseur sur ton serveur sur l'internet et la notion 
d'ip prive n'existe pas

donc la seule bonne solution c'est d'authoriser les clients connus 
un firewall ou une limitation réseau ne doit jamais être la seule solution
l'application doit être configurer proprement


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Cédric Houzé]

En lisant les échanges, c'est exactement le type de solution qui me
traversait l'esprit pour compenser le faible nombre de requêtes locales et
donc la forte latence à la 1ère requête.

En revanche, il ne me semble pas avoir vu de mécanisme de purge du cache ;
j'ai loupé quelque chose ?
Ça ne génèrerait pas un cache démentiel qui aurait la mauvaise idée de
conserver toutes les entrées requêtées depuis l'uptime ?

Cordialement,
Cédric Houzé.

Cordialement,
Cédric Houzé.
06 72 20 31 60


Le 19 nov. 2016 23:41, "Paul Rolland (ポール・ロラン)"  a
écrit :

> Bonjour,
>
> On Sat, 19 Nov 2016 22:00:22 +0100
> Jérémie Bouillon  wrote:
>
> > Le 19/11/2016 à 12:17, Pierre Colombier a écrit :
> > > seul défaut : Il faut admettre que le temps de résolution est un peu
> > > plus long sur les domaines qui ont des TTL court car il y a moins de
> > > chances qu'un autre utilisateur l'ai déjà mis en cache.
> >
> > Question probablement stupide, mais personne n'a essayé de mettre une
> > liste des disons 300 plus gros sites qui ont justement des TTL trop
> > courts, avec un ping en cron de 1 ou 5 minutes depuis la machine
> > resolver ? Ça ne doit pas prendre grand chose en ressources, et sur ces
> > sites en tout cas résoudre le problème de délai, non ?
>
> Et pourquoi pas ca :
> https://deepthought.isc.org/article/AA-01122/0/Early-
> refresh-of-cache-records-cache-prefetch-in-BIND-9.10.html
>
> Paul
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Paul Rolland (ポール・ロラン)]

Bonjour,

On Sat, 19 Nov 2016 22:00:22 +0100
Jérémie Bouillon  wrote:

> Le 19/11/2016 à 12:17, Pierre Colombier a écrit :
> > seul défaut : Il faut admettre que le temps de résolution est un peu
> > plus long sur les domaines qui ont des TTL court car il y a moins de
> > chances qu'un autre utilisateur l'ai déjà mis en cache.  
> 
> Question probablement stupide, mais personne n'a essayé de mettre une 
> liste des disons 300 plus gros sites qui ont justement des TTL trop 
> courts, avec un ping en cron de 1 ou 5 minutes depuis la machine 
> resolver ? Ça ne doit pas prendre grand chose en ressources, et sur ces 
> sites en tout cas résoudre le problème de délai, non ?

Et pourquoi pas ca :
https://deepthought.isc.org/article/AA-01122/0/Early-refresh-of-cache-records-cache-prefetch-in-BIND-9.10.html
 
Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Stephane Bortzmeyer]

On Sat, Nov 19, 2016 at 12:28:53PM +0100,
 Frédéric GANDER  wrote 
 a message of 31 lines which said:

> > > il est important que ton résolveur n'écoute pas sur l'ip
> > publique.  Sinon tu va te retrouver dans les listes d'attaques par
> > amplification DNS.

> c'est quoi le rapport ?

C'est pas idiot du tout (toutes les bonnes boxes font ça). Il y a deux
façons d'éviter d'être un résolveur ouvert
, cette technique, et des ACL où
on n'accepte que ses clients connus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Stephane Bortzmeyer]

On Fri, Nov 18, 2016 at 09:25:36PM +0100,
 Raphael Mazelier  wrote 
 a message of 41 lines which said:

> D'ailleurs pour revenir sur l'attaque de Dyn je me demande pourquoi
> les gros resolveurs n'utilisent pas un stale cache

La question a été discutée à l'IETF cette semaine (sous le titre
« stale bread is better than no bread »), reste à voir si quelqu'un
écrit le draft...

> Cela briserait certes certaines propriétés du protocole tel qu'il a
> été pensé à l’origine,

Oui, c'est une violation du protocole.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Stephane Bortzmeyer]

On Sat, Nov 19, 2016 at 12:17:48PM +0100,
 Pierre Colombier  wrote 
 a message of 62 lines which said:

> Comment font les services comme 8.8.8.8 pour ne pas relayer ce type
> d'attaques ?

Outre la limitation de trafic, déjà citée ici, une supervision
attentive et réactive.

> De façon générale, est-il possible d'être un free resolver sans pour
> autant constituer une nuisance pour le net ?

Si on n'a pas de NOC sérieux et 24x7, non, ce n'est pas possible.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Jérémie Bouillon]

Le 19/11/2016 à 12:17, Pierre Colombier a écrit :

seul défaut : Il faut admettre que le temps de résolution est un peu
plus long sur les domaines qui ont des TTL court car il y a moins de
chances qu'un autre utilisateur l'ai déjà mis en cache.


Question probablement stupide, mais personne n'a essayé de mettre une 
liste des disons 300 plus gros sites qui ont justement des TTL trop 
courts, avec un ping en cron de 1 ou 5 minutes depuis la machine 
resolver ? Ça ne doit pas prendre grand chose en ressources, et sur ces 
sites en tout cas résoudre le problème de délai, non ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Tout va bien

[Xavier Beaudouin]

Hello,


> Il est probable que certains pays préfèrent investir pour offrir une 
> couverture
> relativement cohérente sur tout le territoire, alors que d’autres vont se
> focaliser sur les zones faciles à couvrir en THD et abandonner le reste du
> territoire.

Il est très probable que la France s'est focalisée sur ce type de couverture 
(eg je fais que des zones faciles et le reste des zones sont "démerdes-toi de 
toute façon je ne viendrais jamais te filer de l'IP là ou tu habites, même en 
3G décorative")... 
Ce que démontres bien ces moyennes ultra basses, vu que la majorité de la 
population Française ne vis pas dans ces zones ultra dense où est déployé 
massivement de la FTTH (ou FFTLA en mousse, mais c'est pareil). Sans compter 
les CG qui déploient de la fibre pour faire plaisirs aux boites copines mais 
qui n'en font rien (j'ai pas mal d'exemples sous la main...).

Orange a de bon jours devant lui, même avec le cuivre vieillissant...

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Alarig Le Lay]

On Sat Nov 19 12:36:40 2016, Solarus wrote:
> > ce qui induit la question suivante :
> >
> > Comment font les services comme 8.8.8.8 pour ne pas relayer ce type
> > d'attaques ?
> >
> > De façon générale, est-il possible d'être un free resolver sans pour
> > autant constituer une nuisance pour le net ?
> >
> Salut.
> 
> La solution est de mettre du rate-limiting soit au niveau réseau sur
> UDP, soit au niveau applicatif avec RRL.
> https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html
> 
> Le rate-limiting UDP est utile partout, notamment sur le port 123 pour NTP.

Salut,

Un truc pratique est de forcer un fallback vers TCP dès que la réponse
dépasse une taille donnée (admettons 1 ou 2 Ko). Ainsi, le client devra
faire un 3way TCP et ce sera beaucoup plus compliqué d’usurper l’IP
source.

-- 
alarig


signature.asc
Description: Digital signature

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Solarus]

Le 19/11/2016 à 12:17, Pierre Colombier a écrit :
>
>
> ce qui induit la question suivante :
>
> Comment font les services comme 8.8.8.8 pour ne pas relayer ce type
> d'attaques ?
>
> De façon générale, est-il possible d'être un free resolver sans pour
> autant constituer une nuisance pour le net ?
>
Salut.

La solution est de mettre du rate-limiting soit au niveau réseau sur
UDP, soit au niveau applicatif avec RRL.
https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html

Le rate-limiting UDP est utile partout, notamment sur le port 123 pour NTP.

-- 
Solarus
Clé PGP: 0x02C29734




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Frédéric GANDER]

> PAR CONTRE
> 
> il est important que ton résolveur n'écoute pas sur l'ip publique.
> Sinon
> tu va te retrouver dans les listes d'attaques par amplification DNS.
> 



eh ?
c'est quoi le rapport ?


> 
> ce qui induit la question suivante :
> 
> Comment font les services comme 8.8.8.8 pour ne pas relayer ce type
> d'attaques ?
> 

en faisant ce qu'un fai ne peut pas faire sans être taxer de censure
ratelimit ou blacklist,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.

[Pierre Colombier]

Oui, c'est ce que j'ai fait chez moi il y a déjà presque 10ans

Au départ, c'était juste que je voulais un reverse dns sur les IP 
RFC1918 de mon lan, et que le rendre resolveur ne prennait que quelques 
minutes de plus.


J'ai posé ça sur la machine qui me sert de firewall mais pour évaluer le 
niveau de charge induit sur une machine dédiée, une raspberry pi est 
probablement suffisante pour fournir ce type de service à une grosse PME.



seul défaut : Il faut admettre que le temps de résolution est un peu 
plus long sur les domaines qui ont des TTL court car il y a moins de 
chances qu'un autre utilisateur l'ai déjà mis en cache.


PAR CONTRE

il est important que ton résolveur n'écoute pas sur l'ip publique. Sinon 
tu va te retrouver dans les listes d'attaques par amplification DNS.



ce qui induit la question suivante :

Comment font les services comme 8.8.8.8 pour ne pas relayer ce type 
d'attaques ?


De façon générale, est-il possible d'être un free resolver sans pour 
autant constituer une nuisance pour le net ?





On 18/11/2016 22:42, Jacques Lav!gnotte. wrote:

Le 18/11/2016 à 18:26, Carroussel Informatique a écrit :


Est il pertinent/utile/intéressant pour un particulier avec une machine,
voire trois au grand max,  de s'installer son propre resolveur DNS ?

Réponse courte et non-argumentée : OUI



Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ?

OUI c.f. chez moi.


Merci.
ES

JL





---
Liste de diffusion du FRnOG
http://www.frnog.org/