Документ обсуждает использование UDP-усиливающих технологий, таких как DNS и NTP, которые могут значительно увеличивать объем пакетов, приводя к потенциальным уязвимостям. Он также включает практические примеры атак и меры предосторожности, такие как rate limiting и фильтрация пакетов. В заключение рассматриваются лучшие практики защиты для хостеров и провайдеров.

1. UDP Amplifiers на
примере DNS
Андрей Лескин
QratorLabs/HLL

2. Немного теории
• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!

3. Немного теории
• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP
Не подумайте ничего плохого!

4. Немного теории
• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP
Не подумайте ничего плохого!
• UDP
Легок как перышко, быстр как стрела

5. Немного теории
• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCP
Не подумайте ничего плохого!
• UDP
Легок как перышко, быстр как стрела
• DNS, NTP, NetBIOS, etc
А все потому, что кто-то слишком много ест!

6. Практика
Bad guy
Amplifier x60
Victim
Цветочки!

7. Практика. Примеры.
• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше

8. Практика. Примеры.
• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT
в ответ получаем “FUUUUUUU…”. Плечо максимально

9. Практика. Примеры.
• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT
в ответ получаем “FUUUUUUU…”. Плечо максимально
• ntpdc –c monlist 127.0.0.1
плечо разное, но смертельное: 600х ... 4800х

10. Практика. Примеры.
• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXT
в ответ получаем “FUUUUUUU…”. Плечо максимально
• ntpdc –c monlist 127.0.0.1
плечо разное, но смертельное: 600х ... 4800х
• ping 127.0.0.1
что страшного может быть в ICMP?

11. Масштабы бедствия.
ICMP
0
200
400
600
800
1000
1200
Gathered by radar.qrator.net
ICMPAmplifiers

12. Масштабы бедствия.
DNS
0
50000
100000
150000
200000
250000
300000
350000
400000
450000
4% от всего IPv4 в день
Gathered by radar.qrator.net
DNSAmplifiers

13. Абсолютные цифры
• DNS
Total servers: 11,675,538 (0.27% всего IPv4).
Amplifiers (com. ANY): 6,424,050 (55% от DNS)
Gathered by radar.qrator.net

14. Абсолютные цифры
• DNS
Total servers: 11,675,538 (0.27% всего IPv4).
Amplifiers (com. ANY): 6,424,050 (55% от DNS)
• NTP
Total servers: 108,374 (тут промилле нужны)
>10x : 56425
>100x: 15543
>1000x: 10198
+Гений
Gathered by radar.qrator.net

15. DNS. Кунсткамера

16. DNS. Кунсткамера
• dnsscan.shadowserver.org
openresolvertest.net
сканируют раз в сутки – good guys

17. DNS. Кунсткамера
• dnsscan.shadowserver.org
openresolvertest.net
сканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it,
isc.org.cn
сканируют чаще, неравномерно – bad guys

18. DNS. Кунсткамера
• dnsscan.shadowserver.org
openresolvertest.net
сканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it,
isc.org.cn
сканируют чаще, неравномерно – bad guys
• www.jrdga.info
помимо исследования ресолвера, имеет еще
DNS_Windows_SMTP_Overflow – и ведет к RCE

19. DNS. Кунсткамера
• dnsscan.shadowserver.org
openresolvertest.net
сканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cn
сканируют чаще, неравномерно – bad guys
• www.jrdga.info
помимо исследования ресолвера, имеет еще
DNS_Windows_SMTP_Overflow – и ведет к RCE
• %20www.example.com
<a href=“http:// www.example.com”>ЖМИ!</a>

20. DNS. Кунсткамера

21. Силы сторона светлая.

22. Local свет
• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

23. Local свет
• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
• Response Rate Limiting
добавили Slip Value жить стало легче, но не всем.

24. Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL

25. Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’s
zone: target

26. Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’s
zone: target
target.zone A?

27. Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’s
zone: target
target.zone
A?
RRL DROP
target.zone: 127.0.0.1 (MANY-MANY)
Thanks!

28. Local свет
• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
• Response Rate Limiting
добавили Slip Value жить стало легче, но не всем.
• DNSSEC
хотели как лучше, а получилось как всегда

29. Global свет
• Open Recursion
всех не переловим, так хоть лавочку прикроем

30. Global свет
• Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84
Ingress Packet Filtering. Prevent spoofed IP

31. Global свет
• Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84
Ingress Packet Filtering. Prevent spoofed IP
• BGP FlowSpec
(iptables, который более лучше одевается)

32. Best practices

33. Best practices
Хостер
Сайт
DNS
хостера
The Internet

34. Best practices
Хостер
Сайт
DNS
хостера
The Internet

35. Best practices
Провайдер(ы)
Сайт
DNS
хостера
The Internet
DNS

36. Best practices
ХостерDNS
хостера
The InternetСайт

37. Best practices
The InternetСайт DNS

38. Best practices
The InternetСайт DNS
• dyn.com
• cloudns.net
• Qrator DNS

39. Спасибо!
Андрей Лескин
serenheit@highloadlab.com