Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Jean-Yves Bisiaux]

Le 3 décembre 2015 à 19:18, Léo  a écrit :

> Dans le scénario que je mentionne, le but n'est pas d'avoir une
> amplification, mais simplement de pouvoir viser plus de serveurs
> racine différents à partir d'un unique point géographique, pour lequel
> l'anycast l'aurait toujours emmené sur les mêmes machines.
>

Si un resolveur avait été utilisé nous n'aurions pas observé une
concentration de l'attaque sur 4 des 13 root serveurs.

--
jyb

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Nico CARTRON]

(Merci Stéphane pour le post sur dns-ops)
On 7 December 2015 at 08:51:40, Nico CARTRON (nico...@ncartron.org) wrote:

On 07 Dec 2015, at 07:21, Romain  wrote: 
> 
> Le 30 novembre 2015 à 14:25, Stephane Bortzmeyer  a 
> écrit : 
> 
>> Place aux rapports techniques, maintenant :-) 
> 
> 
> Toujours aucune communication là-dessus ? 

Non, il devait y avoir un follow-up sur la liste dns-ops mais rien vu passer 
pour le moment. 
Le rapport est disponible ici: 
http://root-servers.org/news/events-of-20151130.txt



Cheers,

-- 

Nico
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Stephane Bortzmeyer]

On Tue, Dec 01, 2015 at 09:02:26PM +0100,
 Suixo  wrote 
 a message of 42 lines which said:

> * et du coup autant envoyer directement tes requêtes aux serveurs
> racine

Non. Passer par les résolveurs ouverts permet de dissimuler l'adresse
du zombie (si ce dernier est sur un réseau BCP-38).

> PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires 
> https://news.ycombinator.com/item?id=10655075

Le gros malin qui dit que cela ne servirait à rien ? Il a tort. Outre
les TTL rares ou inexistants, qui ne seront pas "cachés", que se passe
t-il si .com est en cache, que la panne dure une heure, et qu'il
expire pendant cette heure ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Nico CARTRON]

On 8 December 2015 at 16:31:37, Stephane Bortzmeyer (bortzme...@nic.fr) wrote:
On Tue, Dec 08, 2015 at 04:13:35PM +0100, 
Nico CARTRON  wrote 
a message of 67 lines which said: 

> Le rapport est disponible 
> ici: http://root-servers.org/news/events-of-20151130.txt 

Peu d'intérêt : du jargon corporate essayant piteusement de noyer le 
poisson. 
Indeed, on apprend pas grand chose...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Stephane Bortzmeyer]

On Tue, Dec 08, 2015 at 04:13:35PM +0100,
 Nico CARTRON  wrote 
 a message of 67 lines which said:

> Le rapport est disponible
> ici: http://root-servers.org/news/events-of-20151130.txt

Peu d'intérêt : du jargon corporate essayant piteusement de noyer le
poisson.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Nico CARTRON]

On 07 Dec 2015, at 07:21, Romain  wrote:
> 
> Le 30 novembre 2015 à 14:25, Stephane Bortzmeyer  a
> écrit :
> 
>> Place aux rapports techniques, maintenant :-)
> 
> 
> Toujours aucune communication là-dessus ?

Non, il devait y avoir un follow-up sur la liste dns-ops mais rien vu passer 
pour le moment. 

Cheers,

-- 
Nico

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Léo]

Le 1 décembre 2015 21:02, Suixo  a écrit :
> Le 01/12/2015 19:18, Léo a écrit :
>> Est-ce que quelques gars avec de gros tuyau ne pourraient simplement
>> pas s'adresser à des résolveurs malencontreusement ouverts placés un
>> peu partout autour du globe et leur demandant des TLD inexistants,
>> obligeant les résolveurs à interroger les serveurs racine ?
>
> Qu'on m'arrête si je me plante, mais :
> * si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise 
> les requêtes récursives, donc), qui lui va les transmettre aux serveurs 
> racines
> * alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par 
> seconde
> * à condition de bien randomiser tes requêtes pour ne pas que le serveur 
> récursif fasse de mise en cache
> * et du coup autant envoyer directement tes requêtes aux serveurs racine
>
> Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux 
> serveurs racines, et que passer par un réflecteur (résolveur ouvert) ne te 
> fait pas gagner en bande passante.

Dans le scénario que je mentionne, le but n'est pas d'avoir une
amplification, mais simplement de pouvoir viser plus de serveurs
racine différents à partir d'un unique point géographique, pour lequel
l'anycast l'aurait toujours emmené sur les mêmes machines. Et oui,
pour obliger à interroger les racines à chaque requête, ça implique
d'avoir un TLD différent par requête. Mais avec quasi 63 octets
disponibles, tu as largement de quoi voir venir…

>
> Un cas classique d'utilisation de ces serveurs, par contre, est quand tu 
> spoofe l'adresse source (et que tu mets l'IP de ta cible), en interrogeant 
> par exemple un domaine que tu contrôle pour des enregistrements TXT très 
> gros. Du coup tu envoies des (petites) requêtes TXT spoofées, et le serveur 
> récursif (qui cache ces gros résultats) va renvoyer les (grosses) réponses 
> vers la cible. Et paf, amplification et potentiellement DoS.
>
> J'ai bon ?
> J'imagine que les gourous du DNS pourront me corriger :)
>
> Mickaël
>
> PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires 
> https://news.ycombinator.com/item?id=10655075
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Suixo]

Le 01/12/2015 19:18, Léo a écrit :
> Est-ce que quelques gars avec de gros tuyau ne pourraient simplement
> pas s'adresser à des résolveurs malencontreusement ouverts placés un
> peu partout autour du globe et leur demandant des TLD inexistants,
> obligeant les résolveurs à interroger les serveurs racine ?

Qu'on m'arrête si je me plante, mais :
* si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise 
les requêtes récursives, donc), qui lui va les transmettre aux serveurs racines
* alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par 
seconde
* à condition de bien randomiser tes requêtes pour ne pas que le serveur 
récursif fasse de mise en cache
* et du coup autant envoyer directement tes requêtes aux serveurs racine

Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux serveurs 
racines, et que passer par un réflecteur (résolveur ouvert) ne te fait pas 
gagner en bande passante.

Un cas classique d'utilisation de ces serveurs, par contre, est quand tu spoofe 
l'adresse source (et que tu mets l'IP de ta cible), en interrogeant par exemple 
un domaine que tu contrôle pour des enregistrements TXT très gros. Du coup tu 
envoies des (petites) requêtes TXT spoofées, et le serveur récursif (qui cache 
ces gros résultats) va renvoyer les (grosses) réponses vers la cible. Et paf, 
amplification et potentiellement DoS.

J'ai bon ?
J'imagine que les gourous du DNS pourront me corriger :)

Mickaël

PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires 
https://news.ycombinator.com/item?id=10655075


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Léo]

Le 30 novembre 2015 17:55, Michel Py
 a écrit :
>> Pascal PETIT a écrit :
>> C'est impressionnant car pour écrouler un serveur anycasté, il faut que 
>> l'attaque vienne
>> de sources suffisamments variées pour voir toutes les "instances" du serveur.
>
> C'est généralement le cas des DDOS. Ce n'est pas 1 type avec un gros tuyau 
> qui attaque un serveur de jeux, mais des dizaines de milliers de PC 
> contaminés par un merdiciel, distribués dans le monde entier. Le premier D 
> dans Ddos.
>
> Quelqu'un a des détails sur l'attaque ? Basée sur PPS ?
>
> Michel.

Est-ce que quelques gars avec de gros tuyau ne pourraient simplement
pas s'adresser à des résolveurs malencontreusement ouverts placés un
peu partout autour du globe et leur demandant des TLD inexistants,
obligeant les résolveurs à interroger les serveurs racine ?

Léo


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Michel Py]

> Pascal PETIT a écrit :
> C'est impressionnant car pour écrouler un serveur anycasté, il faut que 
> l'attaque vienne
> de sources suffisamments variées pour voir toutes les "instances" du serveur.

C'est généralement le cas des DDOS. Ce n'est pas 1 type avec un gros tuyau qui 
attaque un serveur de jeux, mais des dizaines de milliers de PC contaminés par 
un merdiciel, distribués dans le monde entier. Le premier D dans Ddos.

Quelqu'un a des détails sur l'attaque ? Basée sur PPS ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Stephane Bortzmeyer]

On Mon, Nov 30, 2015 at 02:28:13PM +0100,
 Sylvain Vallerot  wrote 
 a message of 58 lines which said:

> Mais les seuils de 66 et 99% présentés dans ton lien ne sont-ils pas
> excessivement élevés ?

Oui. Ce sont les valeurs par défaut de DNSmon. On peut les changer.

> J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue,
> mais qu'elle a tout de même eu un impact significatif sur la
> majorité des serveurs présentés.

Oui.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Stephane Bortzmeyer]

On Mon, Nov 30, 2015 at 02:42:30PM +0100,
 Pascal PETIT  wrote 
 a message of 18 lines which said:

> Quid de l'impact lié à l'utilisation d'anycast ?
> 
> Les serveurs ciblés l'utilisaient-ils ?

C'est le cas de presque tous désormais. Cela n'a pas complètement
suffi (K, bien anycasté, a pas mal souffert.)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Pascal PETIT]

Bonjour Stéphane,

Le Monday 30 November 2015 (14:47), Stephane Bortzmeyer écrivait :
> On Mon, Nov 30, 2015 at 02:42:30PM +0100,
>  Pascal PETIT  wrote 
>  a message of 18 lines which said:
> 
> > Quid de l'impact lié à l'utilisation d'anycast ?
> > 
> > Les serveurs ciblés l'utilisaient-ils ?
> 
> C'est le cas de presque tous désormais. Cela n'a pas complètement
> suffi (K, bien anycasté, a pas mal souffert.)
> 

Merci pour l'info.

C'est impressionnant car pour écrouler un serveur anycasté, il faut
que l'attaque vienne de sources suffisamments variées pour voir toutes
les "instances" du serveur.

-- 
Pascal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Problème sur la racine du DNS

[Stephane Bortzmeyer]

On Mon, Nov 30, 2015 at 09:56:04AM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 14 lines which said:

> Cela ressemble à une grosse attaque, depuis environ 0700 UTC :

Terminée vers 0930 UTC. Place aux rapports techniques, maintenant :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/