Download pdf - UDP Amplifiers на примере DNS и способы противодействия

UDP Amplifiers на примере DNS Андрей Лескин

QratorLabs/HLL

Немного теории • Amplifier

Увеличим вдвое приходящий пакет за пятилетку!



• TCP Не подумайте ничего плохого!




• UDP Легок как перышко, быстр как стрела




• UDP Легок как перышко, быстр как стрела

• DNS, NTP, NetBIOS, etc А все потому, что кто-то слишком много ест!

Практика

Bad guy

Amplifier x60

Victim

Цветочки!

Практика. Примеры. • dig isoc.org ANY

79 bytes vs 2885 bytes => margin: 36. Можно больше



• dig exploit-dns.net TXT в ответ получаем “FUUUUUUU…”. Плечо максимально




• ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х




• ntpdc –c monlist 127.0.0.1 плечо разное, но смертельное: 600х ... 4800х

• ping 127.0.0.1 что страшного может быть в ICMP?

Масштабы бедствия. ICMP

0

200

400

600

800

1000

1200

Gathered by radar.qrator.net

ICM

P A

mp

lifie

rs

Масштабы бедствия. DNS

0

50000

100000

150000

200000

250000

300000

350000

400000

450000

4% от всего IPv4 в день


DN

S A

mp

lifie

rs

Абсолютные цифры • DNS

Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS)


Абсолютные цифры • DNS

Total servers: 11,675,538 (0.27% всего IPv4). Amplifiers (com. ANY): 6,424,050 (55% от DNS)

• NTP Total servers: 108,374 (тут промилле нужны) >10x : 56425 >100x: 15543 >1000x: 10198 +Гений


DNS. Кунсткамера

DNS. Кунсткамера • dnsscan.shadowserver.org

openresolvertest.net сканируют раз в сутки – good guys



• 1x1.cz, isc.org, youtube.it, isc.org.cn сканируют чаще, неравномерно – bad guys




• www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE




• www.jrdga.info помимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE

• \%20www.example.com <a href=“http:// www.example.com”>ЖМИ!</a>

DNS. Кунсткамера

Силы сторона светлая.

Local свет • EDNS0

512 байт нам было мало, 4096 – default by now, 65535 – possible ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096



• Response Rate Limiting добавили Slip Value жить стало легче, но не всем.

Local свет. RRL.

Resolver BAD GUY

AUTH NS

RRL WALL


Resolver BAD GUY

AUTH NS

RRL WALL

src_ip: resolver’s zone: target


Resolver BAD GUY

AUTH NS

RRL WALL


target.zone A?


Resolver BAD GUY

AUTH NS

RRL WALL


target.zon

e

A? RRL DROP

target.zone: 127.0.0.1 (MANY-MANY)

Thanks!



• Response Rate Limiting добавили Slip Value жить стало легче, но не всем.

• DNSSEC хотели как лучше, а получилось как всегда

Global свет • Open Recursion

всех не переловим, так хоть лавочку прикроем



• BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP



• BCP-38/84 Ingress Packet Filtering. Prevent spoofed IP

• BGP FlowSpec (iptables, который более лучше одевается)

Best practices

Best practices

Хостер

Сайт

DNS хостера

The Internet

Best practices

Хостер

Сайт

DNS хостера

The Internet

Best practices

Провайдер(ы)

Сайт

DNS хостера

The Internet

DNS

Best practices

Хостер DNS хостера

The Internet Сайт

Best practices

The Internet Сайт DNS

Best practices

The Internet Сайт DNS

• dyn.com

• cloudns.net

• Qrator DNS

Спасибо!

Андрей Лескин [email protected]