Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 24
С ботнетами понятно, а что такое «запрещённые сайты»?
Для провайдеров сайты попавшие в реестр eais.rkn.gov.ru/.
На корпоративном уровне (это каждая компания решает самостоятельно :), например, социальные сети.
На корпоративном уровне (это каждая компания решает самостоятельно :), например, социальные сети.
Но они же не запрещены, нет? Их всего лишь вносят в нелепый список сайтов, которые кому-то-там напоминают о суициде.
Они запрещены в РФ на законодательном уровне. Интернет-провайдеры обязаны блокировать доступ к ним.
Для маленьких операторов (у которых нет больших и жирных DPI) лучше их блокировать не на уровне IP (когда могут пострадать невинных несколько сайтов), а на уровне доменов с помощью RPZ, Proxy, DPI — вреда будет меньше.
Для маленьких операторов (у которых нет больших и жирных DPI) лучше их блокировать не на уровне IP (когда могут пострадать невинных несколько сайтов), а на уровне доменов с помощью RPZ, Proxy, DPI — вреда будет меньше.
Обязаны блокировать — не означает, что сайты запрещены. Всякие игры в «да-да, мы блокируем, и даже список скачиваем» касаются только обладателей лицензий. Остальным никаких ограничений или запретов в просмотре этих сайтов нет. Более того, большинство из них даже не запрещено держать. То есть называть их «запрещёнными» (пока что) не правильно. Вносимымыми в список для блокировки — да. Блокируемыми — может быть ( хотя сейчас к русской vds'ке подключился — все работает), но не более.
Не следует забывать, что нужно заблокировать доступ пользователей к публичным DNS.
Обоснуйте.
А что обосновывать то? Если не заблокировать доступ, то половина пользователей себе пропишут 8.8.8.8 и администратор получит «по шапке».
Мы же обсуждаем варианты использования, а не методы их обхода :)
Мы же обсуждаем варианты использования, а не методы их обхода :)
Если не заблокировать доступ, то половина пользователей себе пропишут 8.8.8.8 и администратор получит «по шапке».
Вообще-то законом от оператора это не требуется, ну так и зачем вы усложняете жизнь вашим же пользователям?
Из-за страха «как бы чего не вышло»?
Тьфу.
В том и фишка — формально нет причин, как и полномочий блокировать внешние DNS серверы.
И многие «запреты» и «блокировки» легко обходятся — в этом и заключается глупость подхода властей.
Если уж надо «надежно заблокировать», то придется блокировать все открытые прокси/анонимайзеры/vpn/google translate/и т.д.
А если вспомнить, что пользователь может взять vps за 5$ и поднять там openvpn сервер, список для бана увеличивается до размеров всея интернета.
Вы случаем не корпоративных пользователей ограничиваете?
Там это ещё как-то оправдано политикой компании и т.д.
И многие «запреты» и «блокировки» легко обходятся — в этом и заключается глупость подхода властей.
Если уж надо «надежно заблокировать», то придется блокировать все открытые прокси/анонимайзеры/vpn/google translate/и т.д.
А если вспомнить, что пользователь может взять vps за 5$ и поднять там openvpn сервер, список для бана увеличивается до размеров всея интернета.
Вы случаем не корпоративных пользователей ограничиваете?
Там это ещё как-то оправдано политикой компании и т.д.
Нет, я вообще не ограничиваю пользователей :) Но данная глава была как раз написана как для корпоративщиков, так и для операторов.
Я не думаю, что после этой статьи операторы блокирующие доступ по IP массово начнут переходить на использование RPZ.
Но если Вы настаиваете, то я могу перенести эту фразу «к корпоративной» части главы :)
Я не думаю, что после этой статьи операторы блокирующие доступ по IP массово начнут переходить на использование RPZ.
Но если Вы настаиваете, то я могу перенести эту фразу «к корпоративной» части главы :)
Спасибо за статью!
Рад, что Вы не бросили эксперимент. На Хабре очень мало практики по этой теме.
Несколько вопросов/комментариев:
1) В схеме с fast-flux первый уровень (те узлы, которые крутятся round-robin'ом в A-записях) — всегда proxy до moshership-сервера. В простейшем варианте DNS для такого домена работает на abuse-устойчивом DNS-хостинге. Это называется single-flux. Случай посложнее — double-flux, когда и DNS для домена обслуживают боты (точнее, проксируют на mothership). В этом случае round-robin'ом крутятся еще и NS-записи.
2) FarSight Security не дают в явном виде фид для блокировки ботнетов. Их Security Information Exchange — сервис не для операторов DNS, а скорее для сервис-провайдеров услуг безопасности, которым нужны «сырые» данные DNS для анализа. Для того, чтобы подключиться к SIE, нужно поставить свою железку в дата-центр FarSight в Калифорнии или Вирджинии. А вот, например, Virus Tracker для операторов DNS гораздо удобнее. Им пользуется Яндекс.DNS для фильтрации ботнет-активности.
3) С утверждением
4) В своей предыдущей статье Вы утверждали, что скорее всего атака, которую Вы обнаружили, идет на DNS-сервера этих самых доменов (webpanel.sk, energystar.gov и doleta.gov). И хотя я с этим выводом не согласен (считаю, как минимум 2 из 3 доменов скорее всего использовались для усиления и отражения атаки на другие жертвы), не могу не отметить непоследовательность Ваших действий — если целью атакующего была недоступность ресурсов, которые обслуживают эти DNS-сервера, то включенная Вами фильтрация означает, что атакующий своих целей достиг. Хотя бы на небольшом участке фронта в лице Вашего DNS-сервера :)
Ну и напоследок — пожелание. Понятно, что ручная правка RPZ-зон — не вариант. Было бы здорово увидеть практику работы с каким-либо из перечисленнных в статье DNSBL-сервисов — процесс подключения к услуге, настройка, статистика по результатам использования.
Рад, что Вы не бросили эксперимент. На Хабре очень мало практики по этой теме.
Несколько вопросов/комментариев:
1) В схеме с fast-flux первый уровень (те узлы, которые крутятся round-robin'ом в A-записях) — всегда proxy до moshership-сервера. В простейшем варианте DNS для такого домена работает на abuse-устойчивом DNS-хостинге. Это называется single-flux. Случай посложнее — double-flux, когда и DNS для домена обслуживают боты (точнее, проксируют на mothership). В этом случае round-robin'ом крутятся еще и NS-записи.
2) FarSight Security не дают в явном виде фид для блокировки ботнетов. Их Security Information Exchange — сервис не для операторов DNS, а скорее для сервис-провайдеров услуг безопасности, которым нужны «сырые» данные DNS для анализа. Для того, чтобы подключиться к SIE, нужно поставить свою железку в дата-центр FarSight в Калифорнии или Вирджинии. А вот, например, Virus Tracker для операторов DNS гораздо удобнее. Им пользуется Яндекс.DNS для фильтрации ботнет-активности.
3) С утверждением
Активность botnet-агентов может приводить к значительному росту нагрузки на кэширующий DNS и канал связиготов согласиться только в контексте «Атаки с использованием техники DNS amplification, реализуемые через ботнет-сети, могут приводить ...» :) Просто все, чтобы было выше этой фразы, касалось управления ботами и пресечения каналов связи с C&C-серверами. Эта «активность» ботов не дает большой нагрузки. Вот, например, статистика Яндекса: «Каждый день Яндекс.DNS обрабатывает около семи миллиардов запросов, из них примерно 1,9 миллиона отправляют боты.» 0,03% — это капля в море с точки зрения нагрузки (даже с учетом того, что большая часть этих запросов не попадает в кэш).
4) В своей предыдущей статье Вы утверждали, что скорее всего атака, которую Вы обнаружили, идет на DNS-сервера этих самых доменов (webpanel.sk, energystar.gov и doleta.gov). И хотя я с этим выводом не согласен (считаю, как минимум 2 из 3 доменов скорее всего использовались для усиления и отражения атаки на другие жертвы), не могу не отметить непоследовательность Ваших действий — если целью атакующего была недоступность ресурсов, которые обслуживают эти DNS-сервера, то включенная Вами фильтрация означает, что атакующий своих целей достиг. Хотя бы на небольшом участке фронта в лице Вашего DNS-сервера :)
Ну и напоследок — пожелание. Понятно, что ручная правка RPZ-зон — не вариант. Было бы здорово увидеть практику работы с каким-либо из перечисленнных в статье DNSBL-сервисов — процесс подключения к услуге, настройка, статистика по результатам использования.
Спасибо. Тест мой ещё продолжается, надеюсь ещё будут интересные результаты :)
1) Я не против, просто для такой небольшой статьи не стал усложнять. Основная цель же была не рассказ про Fastflux. Полную ссылку с описанием забыл добавить :)
2) Спасибо. Ещё раз проверю.
3) Да. Это именно так и есть. Но если не будет коммуникаций с C&C, то и не будет атаки. И мне кажется, что статистика Яндекса тут менее интересна, по сравнению со статистикой операторов, так как на них приходит первый «удар».
Круглый стол от Яндекса в тему:
tech.yandex.ru/events/yac/2013/talks/1135/
4) По сравнению с предыдущей статьей я немного переосмыслил результаты :) Относительная нагрузка на мой сервер была небольшая до 5Мб/с (сервер имеет Гигабитный uplink), но с учетом того, что она выросла в 3 раза за несколько минут, я решил не дожидаться дальнейшего усиления атаки и рисковать отключением от Hetzner :)
1) Я не против, просто для такой небольшой статьи не стал усложнять. Основная цель же была не рассказ про Fastflux. Полную ссылку с описанием забыл добавить :)
2) Спасибо. Ещё раз проверю.
3) Да. Это именно так и есть. Но если не будет коммуникаций с C&C, то и не будет атаки. И мне кажется, что статистика Яндекса тут менее интересна, по сравнению со статистикой операторов, так как на них приходит первый «удар».
Круглый стол от Яндекса в тему:
tech.yandex.ru/events/yac/2013/talks/1135/
4) По сравнению с предыдущей статьей я немного переосмыслил результаты :) Относительная нагрузка на мой сервер была небольшая до 5Мб/с (сервер имеет Гигабитный uplink), но с учетом того, что она выросла в 3 раза за несколько минут, я решил не дожидаться дальнейшего усиления атаки и рисковать отключением от Hetzner :)
По поводу FarSight Security я имел в виду NOD, вот описание с их сайта:
NOD is also published in DNSBL and RPZ formats. Many network defense products are directly capable of ingesting and acting upon policy information in the supported «rbldnsd» format (for NOD DNSBL) or in IETF «zone file format» (for NOD RPZ). Farsight updates our NOD distribution files very frequently owing to the importance of timeliness in this data feed. Customers are advised to check for updates once a minute, noting that «rsync» is extremely efficient and will use very little network bandwidth even when executed frequently. Note that Farsight expects to announce AXFR/IXFR/NOTIFY support for the NOD DNSBL and NOD RPZ distributions at a later time.
Я с ними не связывался, но предположил, что они дают свой RPZ.
По поводу Virus Tracker — не обнаружил ни слова про RPZ и описания алгоримов их работы. Может они предоставляют списки доступа для маршрутизаторов/файрволов?
NOD is also published in DNSBL and RPZ formats. Many network defense products are directly capable of ingesting and acting upon policy information in the supported «rbldnsd» format (for NOD DNSBL) or in IETF «zone file format» (for NOD RPZ). Farsight updates our NOD distribution files very frequently owing to the importance of timeliness in this data feed. Customers are advised to check for updates once a minute, noting that «rsync» is extremely efficient and will use very little network bandwidth even when executed frequently. Note that Farsight expects to announce AXFR/IXFR/NOTIFY support for the NOD DNSBL and NOD RPZ distributions at a later time.
Я с ними не связывался, но предположил, что они дают свой RPZ.
По поводу Virus Tracker — не обнаружил ни слова про RPZ и описания алгоримов их работы. Может они предоставляют списки доступа для маршрутизаторов/файрволов?
NOD отдает новые, ранее неизвестные домены. Фильтровать их в DNS только потому, что они новые — не очень разумно.
У Virus Tracker нет выдачи в RPZ. У него есть API для доступа к данным (правда, только на двух верхних тарифах), с помощью которого можно получать сырые данные и на основании их формировать политики фильтрации в том виде, в котором это удобнее вашему инструменту.
У Virus Tracker нет выдачи в RPZ. У него есть API для доступа к данным (правда, только на двух верхних тарифах), с помощью которого можно получать сырые данные и на основании их формировать политики фильтрации в том виде, в котором это удобнее вашему инструменту.
Если я правильно понял, у вас много ручного труда — вы должны мониторить, какие домены пытаются резолвить через ваш DNS.
С появлением нового домена у атакующих, через ваш DNS становится возможна атака.
Если вы спите/на даче/в отпуске, ваш DNS может использоваться для амплификации несколько часов.
С появлением нового домена у атакующих, через ваш DNS становится возможна атака.
Если вы спите/на даче/в отпуске, ваш DNS может использоваться для амплификации несколько часов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Response Policy Zones (RPZ) на страже сети