Андрей Лескин (QratorLabs/HLL)
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Андрей Лескин (QratorLabs/HLL)

on

  • 1,049 views

 

Statistics

Views

Total Views
1,049
Views on SlideShare
256
Embed Views
793

Actions

Likes
0
Downloads
3
Comments
0

4 Embeds 793

http://www.xakep.ru 725
http://ritconf.ru 34
http://xakep.ru 30
http://www.slideee.com 4

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Андрей Лескин (QratorLabs/HLL) Presentation Transcript

  • 1. UDP Amplifiers на примере DNS Андрей Лескин QratorLabs/HLL
  • 2. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку!
  • 3. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого!
  • 4. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого! • UDP Легок как перышко, быстр как стрела
  • 5. Немного теории • Amplifier Увеличим вдвое приходящий пакет за пятилетку! • TCP Не подумайте ничего плохого! • UDP Легок как перышко, быстр как стрела • DNS, NTP, NetBIOS, etc А все потому, что кто-то слишком много ест!
  • 6. Практика Bad guy Amplifier x60 Victim Цветочки!
  • 7. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше
  • 8. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально
  • 9. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально • ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х
  • 10. Практика. Примеры. • dig isoc.org ANY 79 bytes vs 2885 bytes => margin: 36. Можно больше • dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально • ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х • ping 127.0.0.1 что страшного может быть в ICMP?
  • 11. Масштабы бедствия. ICMP 0 200 400 600 800 1000 1200 Gathered by radar.qrator.net ICMPAmplifiers
  • 12. Масштабы бедствия. DNS 0 50000 100000 150000 200000 250000 300000 350000 400000 450000 4% от всего IPv4 в день Gathered by radar.qrator.net DNSAmplifiers
  • 13. Абсолютные цифры • DNS Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS) Gathered by radar.qrator.net
  • 14. Абсолютные цифры • DNS Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS) • NTP Total servers: 108,374 (тут промилле нужны) >10x : 56425 >100x: 15543 >1000x: 10198 +Гений Gathered by radar.qrator.net
  • 15. DNS. Кунсткамера
  • 16. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys
  • 17. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys
  • 18. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys • www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
  • 19. DNS. Кунсткамера • dnsscan.shadowserver.org openresolvertest.net сканируют раз в сутки – good guys • 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys • www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE • %20www.example.com <a href=“http:// www.example.com”>ЖМИ!</a>
  • 20. DNS. Кунсткамера
  • 21. Силы сторона светлая.
  • 22. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096
  • 23. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 • Response Rate Limiting добавили Slip Value жить стало легче, но не всем.
  • 24. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL
  • 25. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target
  • 26. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target target.zone A?
  • 27. Local свет. RRL. ResolverBAD GUY AUTH NS RRL WALL src_ip: resolver’s zone: target target.zone A? RRL DROP target.zone: 127.0.0.1 (MANY-MANY) Thanks!
  • 28. Local свет • EDNS0 512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 • Response Rate Limiting добавили Slip Value жить стало легче, но не всем. • DNSSEC хотели как лучше, а получилось как всегда
  • 29. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем
  • 30. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем • BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP
  • 31. Global свет • Open Recursion всех не переловим, так хоть лавочку прикроем • BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP • BGP FlowSpec (iptables, который более лучше одевается)
  • 32. Best practices
  • 33. Best practices Хостер Сайт DNS хостера The Internet
  • 34. Best practices Хостер Сайт DNS хостера The Internet
  • 35. Best practices Провайдер(ы) Сайт DNS хостера The Internet DNS
  • 36. Best practices ХостерDNS хостера The InternetСайт
  • 37. Best practices The InternetСайт DNS
  • 38. Best practices The InternetСайт DNS • dyn.com • cloudns.net • Qrator DNS
  • 39. Спасибо! Андрей Лескин serenheit@highloadlab.com