Андрей Лескин (qratorlabs/hll)
TRANSCRIPT
![Page 1: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/1.jpg)
UDP Amplifiers на примере DNSАндрей ЛескинQratorLabs/HLL
![Page 2: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/2.jpg)
Немного теории• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
![Page 3: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/3.jpg)
Немного теории• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCPНе подумайте ничего плохого!
![Page 4: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/4.jpg)
Немного теории• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCPНе подумайте ничего плохого!
• UDPЛегок как перышко, быстр как стрела
![Page 5: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/5.jpg)
Немного теории• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCPНе подумайте ничего плохого!
• UDPЛегок как перышко, быстр как стрела
• DNS, NTP, NetBIOS, etcА все потому, что кто-то слишком много ест!
![Page 6: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/6.jpg)
Практика
Bad guy
Amplifier x60
Victim
src_ip: victim
special packet Answer (x60)
Цветочки!
![Page 7: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/7.jpg)
Практика. Примеры.• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
![Page 8: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/8.jpg)
Практика. Примеры.• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXTв ответ получаем “FUUUUUUU…”. Плечо максимально
![Page 9: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/9.jpg)
Практика. Примеры.• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXTв ответ получаем “FUUUUUUU…”. Плечо максимально
• ntpdc –c monlist 127.0.0.1плечо разное, но смертельное: 600х ... 4800х
![Page 10: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/10.jpg)
Практика. Примеры.• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXTв ответ получаем “FUUUUUUU…”. Плечо максимально
• ntpdc –c monlist 127.0.0.1плечо разное, но смертельное: 600х ... 4800х
• ping 127.0.0.1что страшного может быть в ICMP?
![Page 11: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/11.jpg)
Масштабы бедствия. ICMP
12/16/2
013
12/19/2
013
12/22/2
013
12/25/2
013
12/28/2
013
12/31/2
013
1/3/2
014
1/6/2
014
1/9/2
014
1/12/2
014
1/15/2
014
1/18/2
014
1/21/2
014
1/24/2
014
1/27/2
014
1/30/2
014
2/2/2
014
2/5/2
014
2/8/2
014
2/11/2
014
2/14/2
014
2/17/2
014
2/20/2
014
2/23/2
014
2/26/2
014
3/1/2
014
3/4/2
014
3/7/2
014
3/10/2
014
3/13/2
014
3/16/2
014
3/19/2
014
3/22/2
014
3/25/2
014
3/28/2
014
3/31/2
014
4/3/2
0140
200
400
600
800
1000
1200
Gathered by radar.qrator.net
ICM
P Am
plifi
ers
![Page 12: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/12.jpg)
Масштабы бедствия. DNS
12/16/2
013
12/19/2
013
12/22/2
013
12/25/2
013
12/28/2
013
12/31/2
013
1/3/2
014
1/6/2
014
1/9/2
014
1/12/2
014
1/15/2
014
1/18/2
014
1/21/2
014
1/24/2
014
1/27/2
014
1/30/2
014
2/2/2
014
2/5/2
014
2/8/2
014
2/11/2
014
2/14/2
014
2/17/2
014
2/20/2
014
2/23/2
014
2/26/2
014
3/1/2
014
3/4/2
014
3/7/2
014
3/10/2
014
3/13/2
014
3/16/2
014
3/19/2
014
3/22/2
014
3/25/2
014
3/28/2
014
3/31/2
014
4/3/2
0140
50000
100000
150000
200000
250000
300000
350000
400000
450000
4% от всего IPv4 в день
Gathered by radar.qrator.net
DN
S Am
plifi
ers
![Page 13: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/13.jpg)
Абсолютные цифры• DNS
Total servers: 11,675,538 (0.27% всего IPv4).Amplifiers (com. ANY): 6,424,050 (55% от DNS)
Gathered by radar.qrator.net
![Page 14: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/14.jpg)
Абсолютные цифры• DNS
Total servers: 11,675,538 (0.27% всего IPv4).Amplifiers (com. ANY): 6,424,050 (55% от DNS)
• NTPTotal servers: 108,374 (тут промилле нужны)>10x : 56425>100x: 15543>1000x: 10198+Гений
Gathered by radar.qrator.net
![Page 15: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/15.jpg)
DNS. Кунсткамера
![Page 16: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/16.jpg)
DNS. Кунсткамера• dnsscan.shadowserver.org
openresolvertest.netсканируют раз в сутки – good guys
![Page 17: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/17.jpg)
DNS. Кунсткамера• dnsscan.shadowserver.org
openresolvertest.netсканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cnсканируют чаще, неравномерно – bad guys
![Page 18: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/18.jpg)
DNS. Кунсткамера• dnsscan.shadowserver.org
openresolvertest.netсканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cnсканируют чаще, неравномерно – bad guys
• www.jrdga.infoпомимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
![Page 19: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/19.jpg)
DNS. Кунсткамера• dnsscan.shadowserver.org
openresolvertest.netсканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cnсканируют чаще, неравномерно – bad guys
• www.jrdga.infoпомимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
• \%20www.example.com<a href=“http:// www.example.com”>ЖМИ!</a>
![Page 20: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/20.jpg)
DNS. Кунсткамера
![Page 21: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/21.jpg)
Силы сторона светлая.
![Page 22: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/22.jpg)
Local свет• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096
![Page 23: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/23.jpg)
Local свет• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096
• Response Rate Limitingдобавили Slip Value жить стало легче, но не всем.
![Page 24: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/24.jpg)
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
![Page 25: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/25.jpg)
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’szone: target
![Page 26: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/26.jpg)
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’szone: target
target.zone A?
![Page 27: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/27.jpg)
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’szone: target
target.zone A?RRL DROP
target.zone: 127.0.0.1 (MANY-MANY)
Thanks!
![Page 28: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/28.jpg)
Local свет• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096
• Response Rate Limitingдобавили Slip Value жить стало легче, но не всем.
• DNSSECхотели как лучше, а получилось как всегда
![Page 29: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/29.jpg)
Global свет• Open Recursion
всех не переловим, так хоть лавочку прикроем
![Page 30: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/30.jpg)
Global свет• Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84Ingress Packet Filtering. Prevent spoofed IP
![Page 31: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/31.jpg)
Global свет• Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84Ingress Packet Filtering. Prevent spoofed IP
• BGP FlowSpec(iptables, который более лучше одевается)
![Page 32: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/32.jpg)
Best practices
![Page 33: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/33.jpg)
Best practices
Хостер
Сайт
DNSхостера
The Internet
![Page 34: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/34.jpg)
Best practices
Хостер
Сайт
DNSхостера
The Internet
![Page 35: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/35.jpg)
Best practices
Провайдер(ы)
Сайт
DNSхостера
The Internet
DNS
![Page 36: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/36.jpg)
Best practices
ХостерDNSхостера
The InternetСайт
![Page 37: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/37.jpg)
Best practices
The InternetСайт DNS
![Page 38: Андрей Лескин (QratorLabs/HLL)](https://reader031.vdocuments.mx/reader031/viewer/2022020207/5555aa8cd8b42a52568b48ba/html5/thumbnails/38.jpg)
Best practices
The InternetСайт DNS
• dyn.com• cloudns.net• Qrator DNS