Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Le 3 décembre 2015 à 19:18, Léoa écrit : > Dans le scénario que je mentionne, le but n'est pas d'avoir une > amplification, mais simplement de pouvoir viser plus de serveurs > racine différents à partir d'un unique point géographique, pour lequel > l'anycast l'aurait toujours emmené sur les mêmes machines. > Si un resolveur avait été utilisé nous n'aurions pas observé une concentration de l'attaque sur 4 des 13 root serveurs. -- jyb --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
(Merci Stéphane pour le post sur dns-ops) On 7 December 2015 at 08:51:40, Nico CARTRON (nico...@ncartron.org) wrote: On 07 Dec 2015, at 07:21, Romainwrote: > > Le 30 novembre 2015 à 14:25, Stephane Bortzmeyer a > écrit : > >> Place aux rapports techniques, maintenant :-) > > > Toujours aucune communication là-dessus ? Non, il devait y avoir un follow-up sur la liste dns-ops mais rien vu passer pour le moment. Le rapport est disponible ici: http://root-servers.org/news/events-of-20151130.txt Cheers, -- Nico --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On Tue, Dec 01, 2015 at 09:02:26PM +0100, Suixowrote a message of 42 lines which said: > * et du coup autant envoyer directement tes requêtes aux serveurs > racine Non. Passer par les résolveurs ouverts permet de dissimuler l'adresse du zombie (si ce dernier est sur un réseau BCP-38). > PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires > https://news.ycombinator.com/item?id=10655075 Le gros malin qui dit que cela ne servirait à rien ? Il a tort. Outre les TTL rares ou inexistants, qui ne seront pas "cachés", que se passe t-il si .com est en cache, que la panne dure une heure, et qu'il expire pendant cette heure ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On 8 December 2015 at 16:31:37, Stephane Bortzmeyer (bortzme...@nic.fr) wrote: On Tue, Dec 08, 2015 at 04:13:35PM +0100, Nico CARTRONwrote a message of 67 lines which said: > Le rapport est disponible > ici: http://root-servers.org/news/events-of-20151130.txt Peu d'intérêt : du jargon corporate essayant piteusement de noyer le poisson. Indeed, on apprend pas grand chose... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On Tue, Dec 08, 2015 at 04:13:35PM +0100, Nico CARTRONwrote a message of 67 lines which said: > Le rapport est disponible > ici: http://root-servers.org/news/events-of-20151130.txt Peu d'intérêt : du jargon corporate essayant piteusement de noyer le poisson. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
On 07 Dec 2015, at 07:21, Romainwrote: > > Le 30 novembre 2015 à 14:25, Stephane Bortzmeyer a > écrit : > >> Place aux rapports techniques, maintenant :-) > > > Toujours aucune communication là-dessus ? Non, il devait y avoir un follow-up sur la liste dns-ops mais rien vu passer pour le moment. Cheers, -- Nico --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Le 1 décembre 2015 21:02, Suixoa écrit : > Le 01/12/2015 19:18, Léo a écrit : >> Est-ce que quelques gars avec de gros tuyau ne pourraient simplement >> pas s'adresser à des résolveurs malencontreusement ouverts placés un >> peu partout autour du globe et leur demandant des TLD inexistants, >> obligeant les résolveurs à interroger les serveurs racine ? > > Qu'on m'arrête si je me plante, mais : > * si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise > les requêtes récursives, donc), qui lui va les transmettre aux serveurs > racines > * alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par > seconde > * à condition de bien randomiser tes requêtes pour ne pas que le serveur > récursif fasse de mise en cache > * et du coup autant envoyer directement tes requêtes aux serveurs racine > > Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux > serveurs racines, et que passer par un réflecteur (résolveur ouvert) ne te > fait pas gagner en bande passante. Dans le scénario que je mentionne, le but n'est pas d'avoir une amplification, mais simplement de pouvoir viser plus de serveurs racine différents à partir d'un unique point géographique, pour lequel l'anycast l'aurait toujours emmené sur les mêmes machines. Et oui, pour obliger à interroger les racines à chaque requête, ça implique d'avoir un TLD différent par requête. Mais avec quasi 63 octets disponibles, tu as largement de quoi voir venir… > > Un cas classique d'utilisation de ces serveurs, par contre, est quand tu > spoofe l'adresse source (et que tu mets l'IP de ta cible), en interrogeant > par exemple un domaine que tu contrôle pour des enregistrements TXT très > gros. Du coup tu envoies des (petites) requêtes TXT spoofées, et le serveur > récursif (qui cache ces gros résultats) va renvoyer les (grosses) réponses > vers la cible. Et paf, amplification et potentiellement DoS. > > J'ai bon ? > J'imagine que les gourous du DNS pourront me corriger :) > > Mickaël > > PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires > https://news.ycombinator.com/item?id=10655075 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Le 01/12/2015 19:18, Léo a écrit : > Est-ce que quelques gars avec de gros tuyau ne pourraient simplement > pas s'adresser à des résolveurs malencontreusement ouverts placés un > peu partout autour du globe et leur demandant des TLD inexistants, > obligeant les résolveurs à interroger les serveurs racine ? Qu'on m'arrête si je me plante, mais : * si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise les requêtes récursives, donc), qui lui va les transmettre aux serveurs racines * alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par seconde * à condition de bien randomiser tes requêtes pour ne pas que le serveur récursif fasse de mise en cache * et du coup autant envoyer directement tes requêtes aux serveurs racine Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux serveurs racines, et que passer par un réflecteur (résolveur ouvert) ne te fait pas gagner en bande passante. Un cas classique d'utilisation de ces serveurs, par contre, est quand tu spoofe l'adresse source (et que tu mets l'IP de ta cible), en interrogeant par exemple un domaine que tu contrôle pour des enregistrements TXT très gros. Du coup tu envoies des (petites) requêtes TXT spoofées, et le serveur récursif (qui cache ces gros résultats) va renvoyer les (grosses) réponses vers la cible. Et paf, amplification et potentiellement DoS. J'ai bon ? J'imagine que les gourous du DNS pourront me corriger :) Mickaël PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires https://news.ycombinator.com/item?id=10655075 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Le 30 novembre 2015 17:55, Michel Pya écrit : >> Pascal PETIT a écrit : >> C'est impressionnant car pour écrouler un serveur anycasté, il faut que >> l'attaque vienne >> de sources suffisamments variées pour voir toutes les "instances" du serveur. > > C'est généralement le cas des DDOS. Ce n'est pas 1 type avec un gros tuyau > qui attaque un serveur de jeux, mais des dizaines de milliers de PC > contaminés par un merdiciel, distribués dans le monde entier. Le premier D > dans Ddos. > > Quelqu'un a des détails sur l'attaque ? Basée sur PPS ? > > Michel. Est-ce que quelques gars avec de gros tuyau ne pourraient simplement pas s'adresser à des résolveurs malencontreusement ouverts placés un peu partout autour du globe et leur demandant des TLD inexistants, obligeant les résolveurs à interroger les serveurs racine ? Léo --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
> Pascal PETIT a écrit : > C'est impressionnant car pour écrouler un serveur anycasté, il faut que > l'attaque vienne > de sources suffisamments variées pour voir toutes les "instances" du serveur. C'est généralement le cas des DDOS. Ce n'est pas 1 type avec un gros tuyau qui attaque un serveur de jeux, mais des dizaines de milliers de PC contaminés par un merdiciel, distribués dans le monde entier. Le premier D dans Ddos. Quelqu'un a des détails sur l'attaque ? Basée sur PPS ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On Mon, Nov 30, 2015 at 02:28:13PM +0100, Sylvain Vallerotwrote a message of 58 lines which said: > Mais les seuils de 66 et 99% présentés dans ton lien ne sont-ils pas > excessivement élevés ? Oui. Ce sont les valeurs par défaut de DNSmon. On peut les changer. > J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue, > mais qu'elle a tout de même eu un impact significatif sur la > majorité des serveurs présentés. Oui. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On Mon, Nov 30, 2015 at 02:42:30PM +0100, Pascal PETITwrote a message of 18 lines which said: > Quid de l'impact lié à l'utilisation d'anycast ? > > Les serveurs ciblés l'utilisaient-ils ? C'est le cas de presque tous désormais. Cela n'a pas complètement suffi (K, bien anycasté, a pas mal souffert.) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Bonjour Stéphane, Le Monday 30 November 2015 (14:47), Stephane Bortzmeyer écrivait : > On Mon, Nov 30, 2015 at 02:42:30PM +0100, > Pascal PETITwrote > a message of 18 lines which said: > > > Quid de l'impact lié à l'utilisation d'anycast ? > > > > Les serveurs ciblés l'utilisaient-ils ? > > C'est le cas de presque tous désormais. Cela n'a pas complètement > suffi (K, bien anycasté, a pas mal souffert.) > Merci pour l'info. C'est impressionnant car pour écrouler un serveur anycasté, il faut que l'attaque vienne de sources suffisamments variées pour voir toutes les "instances" du serveur. -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On Mon, Nov 30, 2015 at 09:56:04AM +0100, Stephane Bortzmeyerwrote a message of 14 lines which said: > Cela ressemble à une grosse attaque, depuis environ 0700 UTC : Terminée vers 0930 UTC. Place aux rapports techniques, maintenant :-) --- Liste de diffusion du FRnOG http://www.frnog.org/