Андрей Лескин (QratorLabs/HLL)

  • 1,010 views
Uploaded on

 

More in: Internet
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,010
On Slideshare
0
From Embeds
0
Number of Embeds
6

Actions

Shares
Downloads
4
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. UDP Amplifiers на примере DNS Андрей Лескин QratorLabs/HLL
  • 2. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку!
  • 3. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого!
  • 4. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого! • UDP Легок как перышко, быстр как стрела
  • 5. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого! • UDP Легок как перышко, быстр как стрела • DNS, NTP, NetBIOS, etc А все потому, что кто-то слишком много ест!
  • 6. Практика Bad guy Amplifier x60 Victim Цветочки!
  • 7. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше
  • 8. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально
  • 9. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально • ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х
  • 10. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально • ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х • ping 127.0.0.1 что страшного может быть в ICMP?
  • 11. Масштабы бедствия. ICMP 0 200 400 600 800 1000 1200 Gathered by radar.qrator.net ICMPAmplifiers
  • 12. Масштабы бедствия. DNS 0 50000 100000 150000 200000 250000 300000 350000 400000 450000 4% от всего IPv4 в день Gathered by radar.qrator.net DNSAmplifiers
  • 13. Абсолютные цифры • DNS Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS) Gathered by radar.qrator.net
  • 14. Абсолютные цифры • DNS Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS) • NTP Total servers: 108,374 (тут промилле нужны) >10x : 56425 >100x: 15543 >1000x: 10198 +Гений Gathered by radar.qrator.net
  • 15. DNS. Кунсткамера
  • 16. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys
  • 17. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys
  • 18. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys • www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
  • 19. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys • www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE • %20www.example.com <a href=“http:// www.example.com”>ЖМИ!</a>
  • 20. DNS. Кунсткамера
  • 21. Силы сторона светлая.
  • 22. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096
  • 23. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 • Response Rate Limiting добавили Slip Value жить стало легче, но не всем.
  • 24. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL
  • 25. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target
  • 26. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target target.zone A?
  • 27. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target target.zone A? RRL DROP target.zone: 127.0.0.1 (MANY-MANY) Thanks!
  • 28. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 • Response Rate Limiting добавили Slip Value жить стало легче, но не всем. • DNSSEC хотели как лучше, а получилось как всегда
  • 29. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем
  • 30. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем • BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP
  • 31. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем • BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP • BGP FlowSpec (iptables, который более лучше одевается)
  • 32. Best practices
  • 33. Best practices Хостер Сайт DNS хостера The Internet
  • 34. Best practices Хостер Сайт DNS хостера The Internet
  • 35. Best practices Провайдер(ы) Сайт DNS хостера The Internet DNS
  • 36. Best practices ХостерDNS хостера The InternetСайт
  • 37. Best practices The InternetСайт DNS
  • 38. Best practices The InternetСайт DNS • dyn.com • cloudns.net • Qrator DNS
  • 39. Спасибо! Андрей Лескин serenheit@highloadlab.com