Download - Андрей Лескин (QratorLabs/HLL)
UDP Amplifiers на примере DNSАндрей ЛескинQratorLabs/HLL
Немного теории• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
Немного теории• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCPНе подумайте ничего плохого!
Немного теории• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCPНе подумайте ничего плохого!
• UDPЛегок как перышко, быстр как стрела
Немного теории• Amplifier
Увеличим вдвое приходящий пакет за пятилетку!
• TCPНе подумайте ничего плохого!
• UDPЛегок как перышко, быстр как стрела
• DNS, NTP, NetBIOS, etcА все потому, что кто-то слишком много ест!
Практика
Bad guy
Amplifier x60
Victim
src_ip: victim
special packet Answer (x60)
Цветочки!
Практика. Примеры.• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
Практика. Примеры.• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXTв ответ получаем “FUUUUUUU…”. Плечо максимально
Практика. Примеры.• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXTв ответ получаем “FUUUUUUU…”. Плечо максимально
• ntpdc –c monlist 127.0.0.1плечо разное, но смертельное: 600х ... 4800х
Практика. Примеры.• dig isoc.org ANY
79 bytes vs 2885 bytes => margin: 36. Можно больше
• dig exploit-dns.net TXTв ответ получаем “FUUUUUUU…”. Плечо максимально
• ntpdc –c monlist 127.0.0.1плечо разное, но смертельное: 600х ... 4800х
• ping 127.0.0.1что страшного может быть в ICMP?
Масштабы бедствия. ICMP
12/16/2
013
12/19/2
013
12/22/2
013
12/25/2
013
12/28/2
013
12/31/2
013
1/3/2
014
1/6/2
014
1/9/2
014
1/12/2
014
1/15/2
014
1/18/2
014
1/21/2
014
1/24/2
014
1/27/2
014
1/30/2
014
2/2/2
014
2/5/2
014
2/8/2
014
2/11/2
014
2/14/2
014
2/17/2
014
2/20/2
014
2/23/2
014
2/26/2
014
3/1/2
014
3/4/2
014
3/7/2
014
3/10/2
014
3/13/2
014
3/16/2
014
3/19/2
014
3/22/2
014
3/25/2
014
3/28/2
014
3/31/2
014
4/3/2
0140
200
400
600
800
1000
1200
Gathered by radar.qrator.net
ICM
P Am
plifi
ers
Масштабы бедствия. DNS
12/16/2
013
12/19/2
013
12/22/2
013
12/25/2
013
12/28/2
013
12/31/2
013
1/3/2
014
1/6/2
014
1/9/2
014
1/12/2
014
1/15/2
014
1/18/2
014
1/21/2
014
1/24/2
014
1/27/2
014
1/30/2
014
2/2/2
014
2/5/2
014
2/8/2
014
2/11/2
014
2/14/2
014
2/17/2
014
2/20/2
014
2/23/2
014
2/26/2
014
3/1/2
014
3/4/2
014
3/7/2
014
3/10/2
014
3/13/2
014
3/16/2
014
3/19/2
014
3/22/2
014
3/25/2
014
3/28/2
014
3/31/2
014
4/3/2
0140
50000
100000
150000
200000
250000
300000
350000
400000
450000
4% от всего IPv4 в день
Gathered by radar.qrator.net
DN
S Am
plifi
ers
Абсолютные цифры• DNS
Total servers: 11,675,538 (0.27% всего IPv4).Amplifiers (com. ANY): 6,424,050 (55% от DNS)
Gathered by radar.qrator.net
Абсолютные цифры• DNS
Total servers: 11,675,538 (0.27% всего IPv4).Amplifiers (com. ANY): 6,424,050 (55% от DNS)
• NTPTotal servers: 108,374 (тут промилле нужны)>10x : 56425>100x: 15543>1000x: 10198+Гений
Gathered by radar.qrator.net
DNS. Кунсткамера
DNS. Кунсткамера• dnsscan.shadowserver.org
openresolvertest.netсканируют раз в сутки – good guys
DNS. Кунсткамера• dnsscan.shadowserver.org
openresolvertest.netсканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cnсканируют чаще, неравномерно – bad guys
DNS. Кунсткамера• dnsscan.shadowserver.org
openresolvertest.netсканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cnсканируют чаще, неравномерно – bad guys
• www.jrdga.infoпомимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
DNS. Кунсткамера• dnsscan.shadowserver.org
openresolvertest.netсканируют раз в сутки – good guys
• 1x1.cz, isc.org, youtube.it, isc.org.cnсканируют чаще, неравномерно – bad guys
• www.jrdga.infoпомимо исследования ресолвера, имеет еще DNS_Windows_SMTP_Overflow – и ведет к RCE
• \%20www.example.com<a href=“http:// www.example.com”>ЖМИ!</a>
DNS. Кунсткамера
Силы сторона светлая.
Local свет• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096
Local свет• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096
• Response Rate Limitingдобавили Slip Value жить стало легче, но не всем.
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’szone: target
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’szone: target
target.zone A?
Local свет. RRL.
ResolverBAD GUY
AUTH NS
RRL WALL
src_ip: resolver’szone: target
target.zone A?RRL DROP
target.zone: 127.0.0.1 (MANY-MANY)
Thanks!
Local свет• EDNS0
512 байт нам было мало, 4096 – default by now, 65535 – possible;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096
• Response Rate Limitingдобавили Slip Value жить стало легче, но не всем.
• DNSSECхотели как лучше, а получилось как всегда
Global свет• Open Recursion
всех не переловим, так хоть лавочку прикроем
Global свет• Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84Ingress Packet Filtering. Prevent spoofed IP
Global свет• Open Recursion
всех не переловим, так хоть лавочку прикроем
• BCP-38/84Ingress Packet Filtering. Prevent spoofed IP
• BGP FlowSpec(iptables, который более лучше одевается)
Best practices
Best practices
Хостер
Сайт
DNSхостера
The Internet
Best practices
Хостер
Сайт
DNSхостера
The Internet
Best practices
Провайдер(ы)
Сайт
DNSхостера
The Internet
DNS
Best practices
ХостерDNSхостера
The InternetСайт
Best practices
The InternetСайт DNS
Best practices
The InternetСайт DNS
• dyn.com• cloudns.net• Qrator DNS
Спасибо!
Андрей Лескин[email protected]