Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Le 3 décembre 2015 à 19:18, Léoa écrit : > Dans le scénario que je mentionne, le but n'est pas d'avoir une > amplification, mais simplement de pouvoir viser plus de serveurs > racine différents à partir d'un unique point géographique, pour lequel > l'anycast l'aurait toujours emmené sur les mêmes machines. > Si un resolveur avait été utilisé nous n'aurions pas observé une concentration de l'attaque sur 4 des 13 root serveurs. -- jyb --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
(Merci Stéphane pour le post sur dns-ops) On 7 December 2015 at 08:51:40, Nico CARTRON (nico...@ncartron.org) wrote: On 07 Dec 2015, at 07:21, Romainwrote: > > Le 30 novembre 2015 à 14:25, Stephane Bortzmeyer a > écrit : > >> Place aux rapports techniques, maintenant :-) > > > Toujours aucune communication là-dessus ? Non, il devait y avoir un follow-up sur la liste dns-ops mais rien vu passer pour le moment. Le rapport est disponible ici: http://root-servers.org/news/events-of-20151130.txt Cheers, -- Nico --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
On 07 Dec 2015, at 07:21, Romainwrote: > > Le 30 novembre 2015 à 14:25, Stephane Bortzmeyer a > écrit : > >> Place aux rapports techniques, maintenant :-) > > > Toujours aucune communication là-dessus ? Non, il devait y avoir un follow-up sur la liste dns-ops mais rien vu passer pour le moment. Cheers, -- Nico --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Le 1 décembre 2015 21:02, Suixoa écrit : > Le 01/12/2015 19:18, Léo a écrit : >> Est-ce que quelques gars avec de gros tuyau ne pourraient simplement >> pas s'adresser à des résolveurs malencontreusement ouverts placés un >> peu partout autour du globe et leur demandant des TLD inexistants, >> obligeant les résolveurs à interroger les serveurs racine ? > > Qu'on m'arrête si je me plante, mais : > * si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise > les requêtes récursives, donc), qui lui va les transmettre aux serveurs > racines > * alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par > seconde > * à condition de bien randomiser tes requêtes pour ne pas que le serveur > récursif fasse de mise en cache > * et du coup autant envoyer directement tes requêtes aux serveurs racine > > Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux > serveurs racines, et que passer par un réflecteur (résolveur ouvert) ne te > fait pas gagner en bande passante. Dans le scénario que je mentionne, le but n'est pas d'avoir une amplification, mais simplement de pouvoir viser plus de serveurs racine différents à partir d'un unique point géographique, pour lequel l'anycast l'aurait toujours emmené sur les mêmes machines. Et oui, pour obliger à interroger les racines à chaque requête, ça implique d'avoir un TLD différent par requête. Mais avec quasi 63 octets disponibles, tu as largement de quoi voir venir… > > Un cas classique d'utilisation de ces serveurs, par contre, est quand tu > spoofe l'adresse source (et que tu mets l'IP de ta cible), en interrogeant > par exemple un domaine que tu contrôle pour des enregistrements TXT très > gros. Du coup tu envoies des (petites) requêtes TXT spoofées, et le serveur > récursif (qui cache ces gros résultats) va renvoyer les (grosses) réponses > vers la cible. Et paf, amplification et potentiellement DoS. > > J'ai bon ? > J'imagine que les gourous du DNS pourront me corriger :) > > Mickaël > > PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires > https://news.ycombinator.com/item?id=10655075 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Le 01/12/2015 19:18, Léo a écrit : > Est-ce que quelques gars avec de gros tuyau ne pourraient simplement > pas s'adresser à des résolveurs malencontreusement ouverts placés un > peu partout autour du globe et leur demandant des TLD inexistants, > obligeant les résolveurs à interroger les serveurs racine ? Qu'on m'arrête si je me plante, mais : * si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise les requêtes récursives, donc), qui lui va les transmettre aux serveurs racines * alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par seconde * à condition de bien randomiser tes requêtes pour ne pas que le serveur récursif fasse de mise en cache * et du coup autant envoyer directement tes requêtes aux serveurs racine Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux serveurs racines, et que passer par un réflecteur (résolveur ouvert) ne te fait pas gagner en bande passante. Un cas classique d'utilisation de ces serveurs, par contre, est quand tu spoofe l'adresse source (et que tu mets l'IP de ta cible), en interrogeant par exemple un domaine que tu contrôle pour des enregistrements TXT très gros. Du coup tu envoies des (petites) requêtes TXT spoofées, et le serveur récursif (qui cache ces gros résultats) va renvoyer les (grosses) réponses vers la cible. Et paf, amplification et potentiellement DoS. J'ai bon ? J'imagine que les gourous du DNS pourront me corriger :) Mickaël PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires https://news.ycombinator.com/item?id=10655075 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Le 30 novembre 2015 17:55, Michel Pya écrit : >> Pascal PETIT a écrit : >> C'est impressionnant car pour écrouler un serveur anycasté, il faut que >> l'attaque vienne >> de sources suffisamments variées pour voir toutes les "instances" du serveur. > > C'est généralement le cas des DDOS. Ce n'est pas 1 type avec un gros tuyau > qui attaque un serveur de jeux, mais des dizaines de milliers de PC > contaminés par un merdiciel, distribués dans le monde entier. Le premier D > dans Ddos. > > Quelqu'un a des détails sur l'attaque ? Basée sur PPS ? > > Michel. Est-ce que quelques gars avec de gros tuyau ne pourraient simplement pas s'adresser à des résolveurs malencontreusement ouverts placés un peu partout autour du globe et leur demandant des TLD inexistants, obligeant les résolveurs à interroger les serveurs racine ? Léo --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
> Pascal PETIT a écrit : > C'est impressionnant car pour écrouler un serveur anycasté, il faut que > l'attaque vienne > de sources suffisamments variées pour voir toutes les "instances" du serveur. C'est généralement le cas des DDOS. Ce n'est pas 1 type avec un gros tuyau qui attaque un serveur de jeux, mais des dizaines de milliers de PC contaminés par un merdiciel, distribués dans le monde entier. Le premier D dans Ddos. Quelqu'un a des détails sur l'attaque ? Basée sur PPS ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Bonjour Stéphane, Le Monday 30 November 2015 (14:47), Stephane Bortzmeyer écrivait : > On Mon, Nov 30, 2015 at 02:42:30PM +0100, > Pascal PETITwrote > a message of 18 lines which said: > > > Quid de l'impact lié à l'utilisation d'anycast ? > > > > Les serveurs ciblés l'utilisaient-ils ? > > C'est le cas de presque tous désormais. Cela n'a pas complètement > suffi (K, bien anycasté, a pas mal souffert.) > Merci pour l'info. C'est impressionnant car pour écrouler un serveur anycasté, il faut que l'attaque vienne de sources suffisamments variées pour voir toutes les "instances" du serveur. -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/