Comments 61
Добавьте пожалуйста хабракат
отличный, уникальный материал, изложение на высоте
читать было очень интересно, спасибо
читать было очень интересно, спасибо
Переносите в «Информационную безопасность».
UFO just landed and posted this here
теперь по идее перенести сможете. Отличный материал.
Хотелось бы узнать какова была сила атаки и как поднялась/упала нагрузка на систему после включения этих правил?
Честно говоря я пока не проводил сравнение производительности сервера с/без правил, но думаю нагрузка снятая с bind все равно стоит того чтобы правила существовали, даже, если добавилась пара правил в iptables
Просто парсинг каждого udp пакета на некий стринг со смещением — достаточно затратная операция, не?
Извините ради бога за хайджекинг, не срите в карму, у меня ее и так нет чтобы написать к себе в блог, но ЭТО должен видеть каждый:
— i.gizmodo.com/5150189/so-mean-but-maybe-true-nsfw
Очень жесткий, но очень прапвдивый стеб над всей индустрией электроники. Ничего личного к сони. Я даже перевод сделал:
Ведущий:
Любители современных технологий сегодня выстраиваются в очередь чтобы стать первыми обладателями свежей непонятной тупой х**вины от Sony, которая нихрена не делает того, для чего, бля, она создана. Подробности от нашего обозревателя последних цифровых технологий — Джефа Тейта.
Джеф Тейт:
Спасибо Брэндон. Устройство уже было названо «Самым тупым способом выкинуть кучу бабла за последние годы». Новая хреновина от Sony уже заполонила собой все супермаркеты и магазины электроники с завышеными ценами по всей стране.
Прохожий:
Ну это, тут же намного больше памяти, и мегапикселей, и ваще всяких штуковин которые нужны абсолютно каждому, так что я не могу дождаться когда я приду домой и потрачу весь вечер в попытках подключитьэту хренотень.
Джеф Тейт:
Если вы каким-то макаром все-таки прорветесь через упаковку, которую невозможно открыть, этот кусок говна предложит вам целый набор раздражающих функций, как например непонятные мигающие слова и цифры на экране, нежелание выполнять е**ные функции, на которые это дерьмо рассчитано, а также полная готовность быть последней е**ной электронной х**ней которую вы когда либо в жизни купили, чтоб б**ть ее разорвало и медведь в сибири е**л во все разъемы.
Представитель Sony, Элан Камптон заявляет, что компания разработала эту б**дскую х**ню чтобы каждая семья в современном доме захотела вырвать себе гребаные глаза.
Элан Камптон:
Мы внимательно прислушались к просьбам наших клентов, которые пожелали иметь самую навороченую систему домашних развлечений и результатом нашей работы стала вот эта х**вина, которой невозможно пользоваться.
Джеф Тейт:
Если вы вдруг заблудились в вагоне загадочных функций устройства, вам поможет интерактивное меню с инструкцией, огромным лабиринтом, состоящим из совершенно непонятных нормальному человеку заголовков.
Элан Камптон:
Мы хотим чтобы люди по всей стране орали от раздражения: «Работай! Сука, твою мать, работай, гребаный ты кусок дерьма! Что ты, б**ть, от меня хочешь, почему ты не работаешь?!»
Джеф Тейт:
С рекламной компанией в сотни миллионов долларов, которая позволила разместить тупые баннеры с этой пластиковой х**ней в каждом гребаном углу, куда ни посмотришь, Sony рассичтывает сделать свое детище полнейшим мастбаев для любого человека, если тот не хочет показаться пингвином с южного полюса, который ваще в тезнике нихрена не шарит.
Прохожий:
Я люблю всякую муть вроде этой. Я ваще покупаю каждую чертову хрень, которую увижу в рекламе.
Джеф Тейт:
Вы можете купить гребаный кусок дерьма уже сейчас, а потом пригласить всех своих друзей, чтоб они заценили хреновину, а также может смогли бы в ней разобратьсяв этом чертовом поглотителе свободного времени. И даже если ваши друзья это Друзь, Поташов и Вассерман — Sony обещает что у них нету ваще никаких шансов. Для Onion News Network, Джеф Тейт
Ведущий:
Спасибо Джеф. Сони заявила, что готова выпустить 80Гб модель этой х**тени к концу года, как раз когда вы разберетесь с пультом. Бл*, да когдаж они сдохнут все.
— i.gizmodo.com/5150189/so-mean-but-maybe-true-nsfw
Очень жесткий, но очень прапвдивый стеб над всей индустрией электроники. Ничего личного к сони. Я даже перевод сделал:
Ведущий:
Любители современных технологий сегодня выстраиваются в очередь чтобы стать первыми обладателями свежей непонятной тупой х**вины от Sony, которая нихрена не делает того, для чего, бля, она создана. Подробности от нашего обозревателя последних цифровых технологий — Джефа Тейта.
Джеф Тейт:
Спасибо Брэндон. Устройство уже было названо «Самым тупым способом выкинуть кучу бабла за последние годы». Новая хреновина от Sony уже заполонила собой все супермаркеты и магазины электроники с завышеными ценами по всей стране.
Прохожий:
Ну это, тут же намного больше памяти, и мегапикселей, и ваще всяких штуковин которые нужны абсолютно каждому, так что я не могу дождаться когда я приду домой и потрачу весь вечер в попытках подключитьэту хренотень.
Джеф Тейт:
Если вы каким-то макаром все-таки прорветесь через упаковку, которую невозможно открыть, этот кусок говна предложит вам целый набор раздражающих функций, как например непонятные мигающие слова и цифры на экране, нежелание выполнять е**ные функции, на которые это дерьмо рассчитано, а также полная готовность быть последней е**ной электронной х**ней которую вы когда либо в жизни купили, чтоб б**ть ее разорвало и медведь в сибири е**л во все разъемы.
Представитель Sony, Элан Камптон заявляет, что компания разработала эту б**дскую х**ню чтобы каждая семья в современном доме захотела вырвать себе гребаные глаза.
Элан Камптон:
Мы внимательно прислушались к просьбам наших клентов, которые пожелали иметь самую навороченую систему домашних развлечений и результатом нашей работы стала вот эта х**вина, которой невозможно пользоваться.
Джеф Тейт:
Если вы вдруг заблудились в вагоне загадочных функций устройства, вам поможет интерактивное меню с инструкцией, огромным лабиринтом, состоящим из совершенно непонятных нормальному человеку заголовков.
Элан Камптон:
Мы хотим чтобы люди по всей стране орали от раздражения: «Работай! Сука, твою мать, работай, гребаный ты кусок дерьма! Что ты, б**ть, от меня хочешь, почему ты не работаешь?!»
Джеф Тейт:
С рекламной компанией в сотни миллионов долларов, которая позволила разместить тупые баннеры с этой пластиковой х**ней в каждом гребаном углу, куда ни посмотришь, Sony рассичтывает сделать свое детище полнейшим мастбаев для любого человека, если тот не хочет показаться пингвином с южного полюса, который ваще в тезнике нихрена не шарит.
Прохожий:
Я люблю всякую муть вроде этой. Я ваще покупаю каждую чертову хрень, которую увижу в рекламе.
Джеф Тейт:
Вы можете купить гребаный кусок дерьма уже сейчас, а потом пригласить всех своих друзей, чтоб они заценили хреновину, а также может смогли бы в ней разобратьсяв этом чертовом поглотителе свободного времени. И даже если ваши друзья это Друзь, Поташов и Вассерман — Sony обещает что у них нету ваще никаких шансов. Для Onion News Network, Джеф Тейт
Ведущий:
Спасибо Джеф. Сони заявила, что готова выпустить 80Гб модель этой х**тени к концу года, как раз когда вы разберетесь с пультом. Бл*, да когдаж они сдохнут все.
А это про чо вообще?
Лишний раз убедился что Хабр это сообщество отзывчивых людей, готовых к взаимовыручке. Спасибо вам, друзья! :)
UFO just landed and posted this here
Еще бы понять, как на authoritative ns избежать сего.
В любом случае DNS-ответ ВСЕГДА больше DNS запроса, т.к. включает его.
Возьмём, к примеру, запрос mx на gmail.com. Получаем 55 байт в запросе и 314 в ответе.
В любом случае DNS-ответ ВСЕГДА больше DNS запроса, т.к. включает его.
Возьмём, к примеру, запрос mx на gmail.com. Получаем 55 байт в запросе и 314 в ответе.
Да, это проблема. Метод, предложенный мной, кстати, работать будет только до тех пор пока атакующие не решат использовать другие запросы/типы запросов. Но пока этого не предвидится можно обойтись и так. К тому же если использовать для атаки тот же mx и gmail.com. Сразу встают несколько вопросов. Во-первых 55>17, а это значит лишний трафик атакующему, во-вторых mx сработает не на кого угодно, а только на крупных mail-серверах (которых явно меньше чем простых dns-серверов, разбросанных по сети), в-третьих на крупных mail-серверах есть гораздо больше возможностей для фильтрации и детектирования аномальной активности, да и вообще к ИТ-безопасности там относятся серьезней. Резюмируя все вышесказанное не думаю что злоумышленники решат пойти на такой шаг (imho)
Я говорю лишь про то, что проблема протокола фундаментальная, думаю, атакующим выгоден почти любой коэффициент усиления — даже в два раза, это уже хорошо. Например, попросим MX yandex-company.ru — 63 байта, в ответ вернётся nonexistent с SOA от ru. размером 121 байт.
Кстати, у вас ссылка на secure bind template, там предлагают включить additional-from-cache no.
Но не знаю, поможет ли оно.
Но не знаю, поможет ли оно.
UFO just landed and posted this here
UFO just landed and posted this here
Браво! Выражаю уважение.
Спасибо за статью, а особенно за разжёванные правила ipt_recent.
UFO just landed and posted this here
У вас нестыковочка:
--from 36 — ищем начиная с 40 байта
Спасибо :) очень итересно!
Но атакующие тоже хитерцы. В их запросы заложен процент «правильных пакетов», то есть пакетов с их собственным обратным адресом.
Ведут статистику чтобы вычеркивать из сиписка отбракованные ДНС сервера. :) Вот у Вас и снизилось количество пакетов со стороны атакующих.
Остались те кто не ведёт статистику :)
Но атакующие тоже хитерцы. В их запросы заложен процент «правильных пакетов», то есть пакетов с их собственным обратным адресом.
Ведут статистику чтобы вычеркивать из сиписка отбракованные ДНС сервера. :) Вот у Вас и снизилось количество пакетов со стороны атакующих.
Остались те кто не ведёт статистику :)
Хорошо еще, что не AC Amplification :)
[x] success story
Какой 2006ой? Этот тип атаки рассматривали в неплохом, на тот момент, журнале Хакер за декабрь 2002го.
Разве что тогда это не называли DNS Amplification.
Разве что тогда это не называли DNS Amplification.
Надо переходить на использование TCP для DNS-а ;)
А зачем, в общем случае, на публичном интерфейсе отвечать на запрос "."?
А зачем, в общем случае, на публичном интерфейсе отвечать на запрос "."?
раз уж у вас iptables может сразу нарушителей в tarpit укладывать?
Думал про tarpit. Не приходилось доселе его использовать (кстати надо будет попробовать), но, если я не ошибасю, tarpit ведь держит атакующего максимально возможное время, т.е. не закрывает сессию, а сессия подразумевает использование tcp. А данная атака использует не tcp, а udp, здесь вообще нет установки соединения(сессии), а просто посылаются udp-пакеты, а дошли они или нет и сколько они провисели никого не волнует. Резюмируя могу сказать что tarpit в данном случае применить не получится.
хехе, что-то действительно вылетело из головы, что DNS — это UDP =))
Нет. Вот тут не правы. Да, действительно, DNS зачастую использует UDP, но не всегда, в некоторых случаях, а именно:
1. Если обмен идет пакетами данных больше 512 байт.
2. Если идет передача зоны между серверами.
3. Вышестоящий сервер хочет делигировать имя.
то используется не UDP, а TCP.
Однако многие ассоциируют DNS лишь с UDP — это не так.
1. Если обмен идет пакетами данных больше 512 байт.
2. Если идет передача зоны между серверами.
3. Вышестоящий сервер хочет делигировать имя.
то используется не UDP, а TCP.
Однако многие ассоциируют DNS лишь с UDP — это не так.
Автор, а вы не пробовали модуль connlimit из patch-o-matic?
netfilter.org/projects/patch-o-matic/pom-external.html#pom-external-connlimit
netfilter.org/projects/patch-o-matic/pom-external.html#pom-external-connlimit
Перейдя по вашей ссылке вижу:
connlimit — iptables connlimit match
This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).
Соответственно мой ответ о применимости этого метода в контексте данной проблемы такой же как в случае с юзером SaveTheRbtz и его предложением о tarpit (см. коммент. выше)
Если же вы просто так спросили, пробовал ли я этот модуль, то мой ответ: «Нет, не приходилось»
connlimit — iptables connlimit match
This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).
Соответственно мой ответ о применимости этого метода в контексте данной проблемы такой же как в случае с юзером SaveTheRbtz и его предложением о tarpit (см. коммент. выше)
Если же вы просто так спросили, пробовал ли я этот модуль, то мой ответ: «Нет, не приходилось»
Привет.
Я вижу, что Вы вычисляете реальный IP атакующего. У меня микротик я вижу IP адреса которые отправляют мне DNS запрос, их уже 3000 собралось, я понимаю что это наверно не реальные атакующие, а подставные IP. Как можно вычислить реальный IP атакующего и возможно ли это сделать на микромире?
Спасибо.
Я вижу, что Вы вычисляете реальный IP атакующего. У меня микротик я вижу IP адреса которые отправляют мне DNS запрос, их уже 3000 собралось, я понимаю что это наверно не реальные атакующие, а подставные IP. Как можно вычислить реальный IP атакующего и возможно ли это сделать на микромире?
Спасибо.
Sign up to leave a comment.
DNS Amplification (DNS усиление)