Андрей Лескин (QratorLabs/HLL)

1,375 views
1,254 views

Published on

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,375
On SlideShare
0
From Embeds
0
Number of Embeds
916
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Андрей Лескин (QratorLabs/HLL)

  1. 1. UDP Amplifiers на примере DNS Андрей Лескин QratorLabs/HLL
  2. 2. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку!
  3. 3. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого!
  4. 4. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого! • UDP Легок как перышко, быстр как стрела
  5. 5. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого! • UDP Легок как перышко, быстр как стрела • DNS, NTP, NetBIOS, etc А все потому, что кто-то слишком много ест!
  6. 6. Практика Bad guy Amplifier x60 Victim Цветочки!
  7. 7. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше
  8. 8. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально
  9. 9. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально • ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х
  10. 10. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально • ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х • ping 127.0.0.1 что страшного может быть в ICMP?
  11. 11. Масштабы бедствия. ICMP 0 200 400 600 800 1000 1200 Gathered by radar.qrator.net ICMPAmplifiers
  12. 12. Масштабы бедствия. DNS 0 50000 100000 150000 200000 250000 300000 350000 400000 450000 4% от всего IPv4 в день Gathered by radar.qrator.net DNSAmplifiers
  13. 13. Абсолютные цифры • DNS Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS) Gathered by radar.qrator.net
  14. 14. Абсолютные цифры • DNS Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS) • NTP Total servers: 108,374 (тут промилле нужны) >10x : 56425 >100x: 15543 >1000x: 10198 +Гений Gathered by radar.qrator.net
  15. 15. DNS. Кунсткамера
  16. 16. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys
  17. 17. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys
  18. 18. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys • www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
  19. 19. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys • www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE • %20www.example.com <a href=“http:// www.example.com”>ЖМИ!</a>
  20. 20. DNS. Кунсткамера
  21. 21. Силы сторона светлая.
  22. 22. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096
  23. 23. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 • Response Rate Limiting добавили Slip Value жить стало легче, но не всем.
  24. 24. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL
  25. 25. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target
  26. 26. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target target.zone A?
  27. 27. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target target.zone A? RRL DROP target.zone: 127.0.0.1 (MANY-MANY) Thanks!
  28. 28. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 • Response Rate Limiting добавили Slip Value жить стало легче, но не всем. • DNSSEC хотели как лучше, а получилось как всегда
  29. 29. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем
  30. 30. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем • BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP
  31. 31. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем • BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP • BGP FlowSpec (iptables, который более лучше одевается)
  32. 32. Best practices
  33. 33. Best practices Хостер Сайт DNS хостера The Internet
  34. 34. Best practices Хостер Сайт DNS хостера The Internet
  35. 35. Best practices Провайдер(ы) Сайт DNS хостера The Internet DNS
  36. 36. Best practices ХостерDNS хостера The InternetСайт
  37. 37. Best practices The InternetСайт DNS
  38. 38. Best practices The InternetСайт DNS • dyn.com • cloudns.net • Qrator DNS
  39. 39. Спасибо! Андрей Лескин serenheit@highloadlab.com

×