0
UDP Amplifiers на
примере DNS
Андрей Лескин
QratorLabs/HLL
Немного теории
• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
Немного теории
• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP
Не подумайте ничего плохого!
Немного теории
• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP
Не подумайте ничего плохого!
• UDP
Легок ка...
Немного теории
• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP
Не подумайте ничего плохого!
• UDP
Легок ка...
Практика
Bad guy
Amplifier x60
Victim
Цветочки!
Практика. Примеры.
• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
Практика. Примеры.
• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT
в ответ...
Практика. Примеры.
• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT
в ответ...
Практика. Примеры.
• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT
в ответ...
Масштабы бедствия.
ICMP
0
200
400
600
800
1000
1200
Gathered by radar.qrator.net
ICMPAmplifiers
Масштабы бедствия.
DNS
0
50000
100000
150000
200000
250000
300000
350000
400000
450000
4% от всего IPv4 в день
Gathered by...
Абсолютные цифры
• DNS
Total servers: 11,675,538 (0.27% всего IPv4).
Amplifiers (com. ANY): 6,424,050 (55% от DNS)
Gathere...
Абсолютные цифры
• DNS
Total servers: 11,675,538 (0.27% всего IPv4).
Amplifiers (com. ANY): 6,424,050 (55% от DNS)
• NTP
T...
DNS. Кунсткамера
DNS. Кунсткамера
• dnsscan.shadowserver.org
openresolvertest.net
сканируют раз в сутки – good guys
DNS. Кунсткамера
• dnsscan.shadowserver.org
openresolvertest.net
сканируют раз в сутки – good guys
• 1x1.cz, isc.org, yout...
DNS. Кунсткамера
• dnsscan.shadowserver.org
openresolvertest.net
сканируют раз в сутки – good guys
• 1x1.cz, isc.org, yout...
DNS. Кунсткамера
• dnsscan.shadowserver.org
openresolvertest.net
сканируют раз в сутки – good guys
• 1x1.cz, isc.org, yout...
DNS. Кунсткамера
Силы сторона светлая.
Local свет
• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible
;; OPT PSEUDOSECTION:
; EDNS: version: ...
Local свет
• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible
;; OPT PSEUDOSECTION:
; EDNS: version: ...
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’s
zone: target
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’s
zone: target
target.zone A?
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’s
zone: target
target.zone
A?
RRL DROP
target.zone: 127...
Local свет
• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible
;; OPT PSEUDOSECTION:
; EDNS: version: ...
Global свет
• Open Recursion
всех не переловим, так хоть лавочку прикроем
Global свет
• Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84
Ingress Packet Filtering. Prevent sp...
Global свет
• Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84
Ingress Packet Filtering. Prevent sp...
Best practices
Best practices
Хостер
Сайт
DNS
хостера
The Internet
Best practices
Хостер
Сайт
DNS
хостера
The Internet
Best practices
Провайдер(ы)
Сайт
DNS
хостера
The Internet
DNS
Best practices
ХостерDNS
хостера
The InternetСайт
Best practices
The InternetСайт DNS
Best practices
The InternetСайт DNS
• dyn.com
• cloudns.net
• Qrator DNS
Спасибо!
Андрей Лескин
serenheit@highloadlab.com
Upcoming SlideShare
Loading in...5
×

Андрей Лескин (QratorLabs/HLL)

1,092

Published on

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,092
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Андрей Лескин (QratorLabs/HLL)"

  1. 1. UDP Amplifiers на примере DNS Андрей Лескин QratorLabs/HLL
  2. 2. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку!
  3. 3. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого!
  4. 4. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого! • UDP Легок как перышко, быстр как стрела
  5. 5. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого! • UDP Легок как перышко, быстр как стрела • DNS, NTP, NetBIOS, etc А все потому, что кто-то слишком много ест!
  6. 6. Практика Bad guy Amplifier x60 Victim Цветочки!
  7. 7. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше
  8. 8. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально
  9. 9. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально • ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х
  10. 10. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально • ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х • ping 127.0.0.1 что страшного может быть в ICMP?
  11. 11. Масштабы бедствия. ICMP 0 200 400 600 800 1000 1200 Gathered by radar.qrator.net ICMPAmplifiers
  12. 12. Масштабы бедствия. DNS 0 50000 100000 150000 200000 250000 300000 350000 400000 450000 4% от всего IPv4 в день Gathered by radar.qrator.net DNSAmplifiers
  13. 13. Абсолютные цифры • DNS Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS) Gathered by radar.qrator.net
  14. 14. Абсолютные цифры • DNS Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS) • NTP Total servers: 108,374 (тут промилле нужны) >10x : 56425 >100x: 15543 >1000x: 10198 +Гений Gathered by radar.qrator.net
  15. 15. DNS. Кунсткамера
  16. 16. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys
  17. 17. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys
  18. 18. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys • www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
  19. 19. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys • www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE • %20www.example.com <a href=“http:// www.example.com”>ЖМИ!</a>
  20. 20. DNS. Кунсткамера
  21. 21. Силы сторона светлая.
  22. 22. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096
  23. 23. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 • Response Rate Limiting добавили Slip Value жить стало легче, но не всем.
  24. 24. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL
  25. 25. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target
  26. 26. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target target.zone A?
  27. 27. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target target.zone A? RRL DROP target.zone: 127.0.0.1 (MANY-MANY) Thanks!
  28. 28. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 • Response Rate Limiting добавили Slip Value жить стало легче, но не всем. • DNSSEC хотели как лучше, а получилось как всегда
  29. 29. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем
  30. 30. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем • BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP
  31. 31. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем • BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP • BGP FlowSpec (iptables, который более лучше одевается)
  32. 32. Best practices
  33. 33. Best practices Хостер Сайт DNS хостера The Internet
  34. 34. Best practices Хостер Сайт DNS хостера The Internet
  35. 35. Best practices Провайдер(ы) Сайт DNS хостера The Internet DNS
  36. 36. Best practices ХостерDNS хостера The InternetСайт
  37. 37. Best practices The InternetСайт DNS
  38. 38. Best practices The InternetСайт DNS • dyn.com • cloudns.net • Qrator DNS
  39. 39. Спасибо! Андрей Лескин serenheit@highloadlab.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×