udp amplifiers на примере dns и способы противодействия
TRANSCRIPT
Немного теории • Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP Не подумайте ничего плохого!
Немного теории • Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP Не подумайте ничего плохого!
• UDP Легок как перышко, быстр как стрела
Немного теории • Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP Не подумайте ничего плохого!
• UDP Легок как перышко, быстр как стрела
• DNS, NTP, NetBIOS, etc А все потому, что кто-то слишком много ест!
Практика. Примеры. • dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально
Практика. Примеры. • dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально
• ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х
Практика. Примеры. • dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально
• ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х
• ping 127.0.0.1 что страшного может быть в ICMP?
Масштабы бедствия. ICMP
0
200
400
600
800
1000
1200
Gathered by radar.qrator.net
ICM
P A
mp
lifie
rs
Масштабы бедствия. DNS
0
50000
100000
150000
200000
250000
300000
350000
400000
450000
4% от всего IPv4 в день
Gathered by radar.qrator.net
DN
S A
mp
lifie
rs
Абсолютные цифры • DNS
Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS)
Gathered by radar.qrator.net
Абсолютные цифры • DNS
Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS)
• NTP Total servers: 108,374 (тут промилле нужны) >10x : 56425 >100x: 15543 >1000x: 10198 +Гений
Gathered by radar.qrator.net
DNS. Кунсткамера • dnsscan.shadowserver.org
openresolvertest.net сканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys
DNS. Кунсткамера • dnsscan.shadowserver.org
openresolvertest.net сканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys
• www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
DNS. Кунсткамера • dnsscan.shadowserver.org
openresolvertest.net сканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys
• www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
• \%20www.example.com <a href=“http:// www.example.com”>ЖМИ!</a>
Local свет • EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096
Local свет • EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096
• Response Rate Limiting добавили Slip Value жить стало легче, но не всем.
Local свет. RRL.
Resolver BAD GUY
AUTH NS
RRL WALL
src_ip: resolver’s zone: target
target.zon
e
A? RRL DROP
target.zone: 127.0.0.1 (MANY-MANY)
Thanks!
Local свет • EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096
• Response Rate Limiting добавили Slip Value жить стало легче, но не всем.
• DNSSEC хотели как лучше, а получилось как всегда
Global свет • Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP
Global свет • Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP
• BGP FlowSpec (iptables, который более лучше одевается)