[FRnOG] [TECH] Chassons le résolveur DNS ouvert

2013-04-07 Thread Stephane Bortzmeyer 
Compte-tenu du danger de ces résolveurs ouverts, dénoncé depuis
longtemps

, et récemment illustré par
l'attaque contre Spamhaus/Cloudflare, ce travail est l'occasion de se
livre à une chasse aux résolveurs DNS ouverts sur votre
réseau. Indiquez votre numéro d'AS à l'auteur et il vous indiquera les
adresses dangereuses chez vous.

---
Liste de diffusion du FRnOG
http://www.frnog.org/
--- Begin Message ---
I've continued to update my dataset originally posted about two weeks ago.  
Please take a moment and review your CIDRs which may be running an open 
resolver.

I've exposed one additional bit in the user-interface that may be helpful.  
Some DNS servers will respond with RCODE=0 (OK) but not provide recursion.  
nearly 90% of the servers in the database provide recursion.

Some raw stats are also available via the 'breakdown' link on the main site.

If you operate a DNS server, or have an internal group that does, please take a 
moment and review your networks.

If you email me in private from a corporate address for your ASN, I can give 
you access to a per-ASN report.

Due to a change in methodology, I have increased the number of servers observed 
from 27.2 million to 30.2 million hosts.

2013-04-07 results

30269218 servers responded to our udp/53 probe
731040 servers responded from a different IP than probed
25298074 gave the 'correct' answer to my A? for the DNS name queried.
13840790 responded from a source port other than udp/53
27145699 responses had recursion-available bit set.
2761869 returned REFUSED

In addition, please do continue to deploy BCP-38 to prevent spoofing wherever 
possible.  I know at $dayjob we have been auditing this and increased the 
number of customer interfaces that can not spoof.

- Jared--- End Message ---

[FRnOG] [TECH] Chassons le résolveur DNS ouvert

2013-04-07 Thread Stephane Bortzmeyer 
Compte-tenu du danger de ces résolveurs ouverts, dénoncé depuis
longtemps

, et récemment illustré par
l'attaque contre Spamhaus/Cloudflare, ce travail est l'occasion de se
livre à une chasse aux résolveurs DNS ouverts sur votre
réseau. Indiquez votre numéro d'AS à l'auteur et il vous indiquera les
adresses dangereuses chez vous.

---
Liste de diffusion du FRnOG
http://www.frnog.org/
--- Begin Message ---
I've continued to update my dataset originally posted about two weeks ago.  
Please take a moment and review your CIDRs which may be running an open 
resolver.

I've exposed one additional bit in the user-interface that may be helpful.  
Some DNS servers will respond with RCODE=0 (OK) but not provide recursion.  
nearly 90% of the servers in the database provide recursion.

Some raw stats are also available via the 'breakdown' link on the main site.

If you operate a DNS server, or have an internal group that does, please take a 
moment and review your networks.

If you email me in private from a corporate address for your ASN, I can give 
you access to a per-ASN report.

Due to a change in methodology, I have increased the number of servers observed 
from 27.2 million to 30.2 million hosts.

2013-04-07 results

30269218 servers responded to our udp/53 probe
731040 servers responded from a different IP than probed
25298074 gave the 'correct' answer to my A? for the DNS name queried.
13840790 responded from a source port other than udp/53
27145699 responses had recursion-available bit set.
2761869 returned REFUSED

In addition, please do continue to deploy BCP-38 to prevent spoofing wherever 
possible.  I know at $dayjob we have been auditing this and increased the 
number of customer interfaces that can not spoof.

- Jared--- End Message ---

Re: [FRnOG] [TECH] Chassons le résolveur DNS ouvert

2013-04-08 Thread Florent Daigniere 
Bonjour Stephane,

Fermer les resolveurs ouverts ne résout pas le problème des DDoS
amplifiés par DNS. Le jour où il n'y aura plus de serveur récursifs sur
Internet (et ce n'est pas demain la veille), les attaques se feront sur
les serveurs autoritaires.

Il est plus facile de construire une liste de serveurs autoritaires que
d'open-resolvers!

La bonne solution c'est BCP-38 (rfc3704).

Cordialement,
Florent
PS:
Fermer les resolveurs ouverts, oui; mais pour différentes raisons:
- "least privilege"
- cache poisoning
- cache snooping


On Sun, 2013-04-07 at 21:59 +0200, Stephane Bortzmeyer wrote:
> Compte-tenu du danger de ces résolveurs ouverts, dénoncé depuis
> longtemps
> 
> , et récemment illustré par
> l'attaque contre Spamhaus/Cloudflare, ce travail est l'occasion de se
> livre à une chasse aux résolveurs DNS ouverts sur votre
> réseau. Indiquez votre numéro d'AS à l'auteur et il vous indiquera les
> adresses dangereuses chez vous.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> MHTML Document attachment (Open Resolver Dataset Update)
> >  Forwarded Message 
> > From: Jared Mauch 
> > To: NANOG Group 
> > Subject: Open Resolver Dataset Update
> > Date: Sun, 7 Apr 2013 13:46:14 -0400
> > 
> > I've continued to update my dataset originally posted about two weeks ago.  
> > Please take a moment and review your CIDRs which may be running an open 
> > resolver.
> > 
> > I've exposed one additional bit in the user-interface that may be helpful.  
> > Some DNS servers will respond with RCODE=0 (OK) but not provide recursion.  
> > nearly 90% of the servers in the database provide recursion.
> > 
> > Some raw stats are also available via the 'breakdown' link on the main site.
> > 
> > If you operate a DNS server, or have an internal group that does, please 
> > take a moment and review your networks.
> > 
> > If you email me in private from a corporate address for your ASN, I can 
> > give you access to a per-ASN report.
> > 
> > Due to a change in methodology, I have increased the number of servers 
> > observed from 27.2 million to 30.2 million hosts.
> > 
> > 2013-04-07 results
> > 
> > 30269218 servers responded to our udp/53 probe
> > 731040 servers responded from a different IP than probed
> > 25298074 gave the 'correct' answer to my A? for the DNS name queried.
> > 13840790 responded from a source port other than udp/53
> > 27145699 responses had recursion-available bit set.
> > 2761869 returned REFUSED
> > 
> > In addition, please do continue to deploy BCP-38 to prevent spoofing 
> > wherever possible.  I know at $dayjob we have been auditing this and 
> > increased the number of customer interfaces that can not spoof.
> > 
> > - Jared



signature.asc
Description: This is a digitally signed message part

Re: [FRnOG] [TECH] Chassons le résolveur DNS ouvert

2013-04-08 Thread Emmanuel Thierry 

Le 8 avr. 2013 à 10:29, Wallace  a écrit :

> Le 08/04/2013 10:19, Stephane Bortzmeyer a écrit :
>>> les attaques se feront sur les serveurs autoritaires.
>> Je prends ma casquette de nazi grammairien deux secondes : un adjudant
>> est autoritaire. Un serveur DNS fait autorité.
> Tu m'avais déjà fait cette remarque mais en cherchant bien autorité en
> tant que nom féminin, je ne vois pas quel adjectif autre qu'autoritaire
> pour l'accoler à serveur dns sans mettre un verbe.

"Référent" serait à mon sens le plus proche de cette idée dans le sens que sa 
réponse fait référence.

Cordialement
Emmanuel Thierry


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chassons le résolveur DNS ouvert

2013-04-08 Thread Solarus 
Le 07/04/2013 21:59, Stephane Bortzmeyer a écrit :
>  Indiquez votre numéro d'AS à l'auteur et il vous indiquera les
> adresses dangereuses chez vous.
Je serais curieux de savoir comment il fait ? S'agit t'il d'un nmap de
tous les préfixes de l'AS et vérification des ports 53 ouverts ?

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chassons le résolveur DNS ouvert

2013-04-08 Thread Florent Daigniere 
Bonjour Stephane,

Fermer les resolveurs ouverts ne résout pas le problème des DDoS
amplifiés par DNS. Le jour où il n'y aura plus de serveur récursifs sur
Internet (et ce n'est pas demain la veille), les attaques se feront sur
les serveurs autoritaires.

Il est plus facile de construire une liste de serveurs autoritaires que
d'open-resolvers!

La bonne solution c'est BCP-38 (rfc3704).

Cordialement,
Florent
PS:
Fermer les resolveurs ouverts, oui; mais pour différentes raisons:
- "least privilege"
- cache poisoning
- cache snooping


On Sun, 2013-04-07 at 21:59 +0200, Stephane Bortzmeyer wrote:
> Compte-tenu du danger de ces résolveurs ouverts, dénoncé depuis
> longtemps
> 
> , et récemment illustré par
> l'attaque contre Spamhaus/Cloudflare, ce travail est l'occasion de se
> livre à une chasse aux résolveurs DNS ouverts sur votre
> réseau. Indiquez votre numéro d'AS à l'auteur et il vous indiquera les
> adresses dangereuses chez vous.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> MHTML Document attachment (Open Resolver Dataset Update)
> >  Forwarded Message 
> > From: Jared Mauch 
> > To: NANOG Group 
> > Subject: Open Resolver Dataset Update
> > Date: Sun, 7 Apr 2013 13:46:14 -0400
> > 
> > I've continued to update my dataset originally posted about two weeks ago.  
> > Please take a moment and review your CIDRs which may be running an open 
> > resolver.
> > 
> > I've exposed one additional bit in the user-interface that may be helpful.  
> > Some DNS servers will respond with RCODE=0 (OK) but not provide recursion.  
> > nearly 90% of the servers in the database provide recursion.
> > 
> > Some raw stats are also available via the 'breakdown' link on the main site.
> > 
> > If you operate a DNS server, or have an internal group that does, please 
> > take a moment and review your networks.
> > 
> > If you email me in private from a corporate address for your ASN, I can 
> > give you access to a per-ASN report.
> > 
> > Due to a change in methodology, I have increased the number of servers 
> > observed from 27.2 million to 30.2 million hosts.
> > 
> > 2013-04-07 results
> > 
> > 30269218 servers responded to our udp/53 probe
> > 731040 servers responded from a different IP than probed
> > 25298074 gave the 'correct' answer to my A? for the DNS name queried.
> > 13840790 responded from a source port other than udp/53
> > 27145699 responses had recursion-available bit set.
> > 2761869 returned REFUSED
> > 
> > In addition, please do continue to deploy BCP-38 to prevent spoofing 
> > wherever possible.  I know at $dayjob we have been auditing this and 
> > increased the number of customer interfaces that can not spoof.
> > 
> > - Jared



signature.asc
Description: This is a digitally signed message part

Re: [FRnOG] [TECH] Chassons le résolveur DNS ouvert

2013-04-08 Thread Emmanuel Thierry 

Le 8 avr. 2013 à 10:29, Wallace  a écrit :

> Le 08/04/2013 10:19, Stephane Bortzmeyer a écrit :
>>> les attaques se feront sur les serveurs autoritaires.
>> Je prends ma casquette de nazi grammairien deux secondes : un adjudant
>> est autoritaire. Un serveur DNS fait autorité.
> Tu m'avais déjà fait cette remarque mais en cherchant bien autorité en
> tant que nom féminin, je ne vois pas quel adjectif autre qu'autoritaire
> pour l'accoler à serveur dns sans mettre un verbe.

"Référent" serait à mon sens le plus proche de cette idée dans le sens que sa 
réponse fait référence.

Cordialement
Emmanuel Thierry


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Chassons le résolveur DNS ouvert

2013-04-08 Thread Solarus 
Le 07/04/2013 21:59, Stephane Bortzmeyer a écrit :
>  Indiquez votre numéro d'AS à l'auteur et il vous indiquera les
> adresses dangereuses chez vous.
Je serais curieux de savoir comment il fait ? S'agit t'il d'un nmap de
tous les préfixes de l'AS et vérification des ports 53 ouverts ?

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/