Comments 61
Добавьте пожалуйста хабракат
отличный, уникальный материал, изложение на высоте
читать было очень интересно, спасибо
читать было очень интересно, спасибо
Переносите в «Информационную безопасность».
теперь по идее перенести сможете. Отличный материал.
Хотелось бы узнать какова была сила атаки и как поднялась/упала нагрузка на систему после включения этих правил?
Честно говоря я пока не проводил сравнение производительности сервера с/без правил, но думаю нагрузка снятая с bind все равно стоит того чтобы правила существовали, даже, если добавилась пара правил в iptables
Просто парсинг каждого udp пакета на некий стринг со смещением — достаточно затратная операция, не?
Извините ради бога за хайджекинг, не срите в карму, у меня ее и так нет чтобы написать к себе в блог, но ЭТО должен видеть каждый:
— i.gizmodo.com/5150189/so-mean-but-maybe-true-nsfw
Очень жесткий, но очень прапвдивый стеб над всей индустрией электроники. Ничего личного к сони. Я даже перевод сделал:
Ведущий:
Любители современных технологий сегодня выстраиваются в очередь чтобы стать первыми обладателями свежей непонятной тупой х**вины от Sony, которая нихрена не делает того, для чего, бля, она создана. Подробности от нашего обозревателя последних цифровых технологий — Джефа Тейта.
Джеф Тейт:
Спасибо Брэндон. Устройство уже было названо «Самым тупым способом выкинуть кучу бабла за последние годы». Новая хреновина от Sony уже заполонила собой все супермаркеты и магазины электроники с завышеными ценами по всей стране.
Прохожий:
Ну это, тут же намного больше памяти, и мегапикселей, и ваще всяких штуковин которые нужны абсолютно каждому, так что я не могу дождаться когда я приду домой и потрачу весь вечер в попытках подключитьэту хренотень.
Джеф Тейт:
Если вы каким-то макаром все-таки прорветесь через упаковку, которую невозможно открыть, этот кусок говна предложит вам целый набор раздражающих функций, как например непонятные мигающие слова и цифры на экране, нежелание выполнять е**ные функции, на которые это дерьмо рассчитано, а также полная готовность быть последней е**ной электронной х**ней которую вы когда либо в жизни купили, чтоб б**ть ее разорвало и медведь в сибири е**л во все разъемы.
Представитель Sony, Элан Камптон заявляет, что компания разработала эту б**дскую х**ню чтобы каждая семья в современном доме захотела вырвать себе гребаные глаза.
Элан Камптон:
Мы внимательно прислушались к просьбам наших клентов, которые пожелали иметь самую навороченую систему домашних развлечений и результатом нашей работы стала вот эта х**вина, которой невозможно пользоваться.
Джеф Тейт:
Если вы вдруг заблудились в вагоне загадочных функций устройства, вам поможет интерактивное меню с инструкцией, огромным лабиринтом, состоящим из совершенно непонятных нормальному человеку заголовков.
Элан Камптон:
Мы хотим чтобы люди по всей стране орали от раздражения: «Работай! Сука, твою мать, работай, гребаный ты кусок дерьма! Что ты, б**ть, от меня хочешь, почему ты не работаешь?!»
Джеф Тейт:
С рекламной компанией в сотни миллионов долларов, которая позволила разместить тупые баннеры с этой пластиковой х**ней в каждом гребаном углу, куда ни посмотришь, Sony рассичтывает сделать свое детище полнейшим мастбаев для любого человека, если тот не хочет показаться пингвином с южного полюса, который ваще в тезнике нихрена не шарит.
Прохожий:
Я люблю всякую муть вроде этой. Я ваще покупаю каждую чертову хрень, которую увижу в рекламе.
Джеф Тейт:
Вы можете купить гребаный кусок дерьма уже сейчас, а потом пригласить всех своих друзей, чтоб они заценили хреновину, а также может смогли бы в ней разобратьсяв этом чертовом поглотителе свободного времени. И даже если ваши друзья это Друзь, Поташов и Вассерман — Sony обещает что у них нету ваще никаких шансов. Для Onion News Network, Джеф Тейт
Ведущий:
Спасибо Джеф. Сони заявила, что готова выпустить 80Гб модель этой х**тени к концу года, как раз когда вы разберетесь с пультом. Бл*, да когдаж они сдохнут все.
— i.gizmodo.com/5150189/so-mean-but-maybe-true-nsfw
Очень жесткий, но очень прапвдивый стеб над всей индустрией электроники. Ничего личного к сони. Я даже перевод сделал:
Ведущий:
Любители современных технологий сегодня выстраиваются в очередь чтобы стать первыми обладателями свежей непонятной тупой х**вины от Sony, которая нихрена не делает того, для чего, бля, она создана. Подробности от нашего обозревателя последних цифровых технологий — Джефа Тейта.
Джеф Тейт:
Спасибо Брэндон. Устройство уже было названо «Самым тупым способом выкинуть кучу бабла за последние годы». Новая хреновина от Sony уже заполонила собой все супермаркеты и магазины электроники с завышеными ценами по всей стране.
Прохожий:
Ну это, тут же намного больше памяти, и мегапикселей, и ваще всяких штуковин которые нужны абсолютно каждому, так что я не могу дождаться когда я приду домой и потрачу весь вечер в попытках подключитьэту хренотень.
Джеф Тейт:
Если вы каким-то макаром все-таки прорветесь через упаковку, которую невозможно открыть, этот кусок говна предложит вам целый набор раздражающих функций, как например непонятные мигающие слова и цифры на экране, нежелание выполнять е**ные функции, на которые это дерьмо рассчитано, а также полная готовность быть последней е**ной электронной х**ней которую вы когда либо в жизни купили, чтоб б**ть ее разорвало и медведь в сибири е**л во все разъемы.
Представитель Sony, Элан Камптон заявляет, что компания разработала эту б**дскую х**ню чтобы каждая семья в современном доме захотела вырвать себе гребаные глаза.
Элан Камптон:
Мы внимательно прислушались к просьбам наших клентов, которые пожелали иметь самую навороченую систему домашних развлечений и результатом нашей работы стала вот эта х**вина, которой невозможно пользоваться.
Джеф Тейт:
Если вы вдруг заблудились в вагоне загадочных функций устройства, вам поможет интерактивное меню с инструкцией, огромным лабиринтом, состоящим из совершенно непонятных нормальному человеку заголовков.
Элан Камптон:
Мы хотим чтобы люди по всей стране орали от раздражения: «Работай! Сука, твою мать, работай, гребаный ты кусок дерьма! Что ты, б**ть, от меня хочешь, почему ты не работаешь?!»
Джеф Тейт:
С рекламной компанией в сотни миллионов долларов, которая позволила разместить тупые баннеры с этой пластиковой х**ней в каждом гребаном углу, куда ни посмотришь, Sony рассичтывает сделать свое детище полнейшим мастбаев для любого человека, если тот не хочет показаться пингвином с южного полюса, который ваще в тезнике нихрена не шарит.
Прохожий:
Я люблю всякую муть вроде этой. Я ваще покупаю каждую чертову хрень, которую увижу в рекламе.
Джеф Тейт:
Вы можете купить гребаный кусок дерьма уже сейчас, а потом пригласить всех своих друзей, чтоб они заценили хреновину, а также может смогли бы в ней разобратьсяв этом чертовом поглотителе свободного времени. И даже если ваши друзья это Друзь, Поташов и Вассерман — Sony обещает что у них нету ваще никаких шансов. Для Onion News Network, Джеф Тейт
Ведущий:
Спасибо Джеф. Сони заявила, что готова выпустить 80Гб модель этой х**тени к концу года, как раз когда вы разберетесь с пультом. Бл*, да когдаж они сдохнут все.
А это про чо вообще?
Лишний раз убедился что Хабр это сообщество отзывчивых людей, готовых к взаимовыручке. Спасибо вам, друзья! :)
Еще бы понять, как на authoritative ns избежать сего.
В любом случае DNS-ответ ВСЕГДА больше DNS запроса, т.к. включает его.
Возьмём, к примеру, запрос mx на gmail.com. Получаем 55 байт в запросе и 314 в ответе.
В любом случае DNS-ответ ВСЕГДА больше DNS запроса, т.к. включает его.
Возьмём, к примеру, запрос mx на gmail.com. Получаем 55 байт в запросе и 314 в ответе.
Да, это проблема. Метод, предложенный мной, кстати, работать будет только до тех пор пока атакующие не решат использовать другие запросы/типы запросов. Но пока этого не предвидится можно обойтись и так. К тому же если использовать для атаки тот же mx и gmail.com. Сразу встают несколько вопросов. Во-первых 55>17, а это значит лишний трафик атакующему, во-вторых mx сработает не на кого угодно, а только на крупных mail-серверах (которых явно меньше чем простых dns-серверов, разбросанных по сети), в-третьих на крупных mail-серверах есть гораздо больше возможностей для фильтрации и детектирования аномальной активности, да и вообще к ИТ-безопасности там относятся серьезней. Резюмируя все вышесказанное не думаю что злоумышленники решат пойти на такой шаг (imho)
Я говорю лишь про то, что проблема протокола фундаментальная, думаю, атакующим выгоден почти любой коэффициент усиления — даже в два раза, это уже хорошо. Например, попросим MX yandex-company.ru — 63 байта, в ответ вернётся nonexistent с SOA от ru. размером 121 байт.
Кстати, у вас ссылка на secure bind template, там предлагают включить additional-from-cache no.
Но не знаю, поможет ли оно.
Но не знаю, поможет ли оно.
Браво! Выражаю уважение.
Спасибо за статью, а особенно за разжёванные правила ipt_recent.
У вас нестыковочка:
--from 36 — ищем начиная с 40 байта
Спасибо :) очень итересно!
Но атакующие тоже хитерцы. В их запросы заложен процент «правильных пакетов», то есть пакетов с их собственным обратным адресом.
Ведут статистику чтобы вычеркивать из сиписка отбракованные ДНС сервера. :) Вот у Вас и снизилось количество пакетов со стороны атакующих.
Остались те кто не ведёт статистику :)
Но атакующие тоже хитерцы. В их запросы заложен процент «правильных пакетов», то есть пакетов с их собственным обратным адресом.
Ведут статистику чтобы вычеркивать из сиписка отбракованные ДНС сервера. :) Вот у Вас и снизилось количество пакетов со стороны атакующих.
Остались те кто не ведёт статистику :)
Хорошо еще, что не AC Amplification :)
[x] success story
Какой 2006ой? Этот тип атаки рассматривали в неплохом, на тот момент, журнале Хакер за декабрь 2002го.
Разве что тогда это не называли DNS Amplification.
Разве что тогда это не называли DNS Amplification.
Надо переходить на использование TCP для DNS-а ;)
А зачем, в общем случае, на публичном интерфейсе отвечать на запрос "."?
А зачем, в общем случае, на публичном интерфейсе отвечать на запрос "."?
раз уж у вас iptables может сразу нарушителей в tarpit укладывать?
Думал про tarpit. Не приходилось доселе его использовать (кстати надо будет попробовать), но, если я не ошибасю, tarpit ведь держит атакующего максимально возможное время, т.е. не закрывает сессию, а сессия подразумевает использование tcp. А данная атака использует не tcp, а udp, здесь вообще нет установки соединения(сессии), а просто посылаются udp-пакеты, а дошли они или нет и сколько они провисели никого не волнует. Резюмируя могу сказать что tarpit в данном случае применить не получится.
хехе, что-то действительно вылетело из головы, что DNS — это UDP =))
Нет. Вот тут не правы. Да, действительно, DNS зачастую использует UDP, но не всегда, в некоторых случаях, а именно:
1. Если обмен идет пакетами данных больше 512 байт.
2. Если идет передача зоны между серверами.
3. Вышестоящий сервер хочет делигировать имя.
то используется не UDP, а TCP.
Однако многие ассоциируют DNS лишь с UDP — это не так.
1. Если обмен идет пакетами данных больше 512 байт.
2. Если идет передача зоны между серверами.
3. Вышестоящий сервер хочет делигировать имя.
то используется не UDP, а TCP.
Однако многие ассоциируют DNS лишь с UDP — это не так.
Автор, а вы не пробовали модуль connlimit из patch-o-matic?
netfilter.org/projects/patch-o-matic/pom-external.html#pom-external-connlimit
netfilter.org/projects/patch-o-matic/pom-external.html#pom-external-connlimit
Перейдя по вашей ссылке вижу:
connlimit — iptables connlimit match
This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).
Соответственно мой ответ о применимости этого метода в контексте данной проблемы такой же как в случае с юзером SaveTheRbtz и его предложением о tarpit (см. коммент. выше)
Если же вы просто так спросили, пробовал ли я этот модуль, то мой ответ: «Нет, не приходилось»
connlimit — iptables connlimit match
This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).
Соответственно мой ответ о применимости этого метода в контексте данной проблемы такой же как в случае с юзером SaveTheRbtz и его предложением о tarpit (см. коммент. выше)
Если же вы просто так спросили, пробовал ли я этот модуль, то мой ответ: «Нет, не приходилось»
Привет.
Я вижу, что Вы вычисляете реальный IP атакующего. У меня микротик я вижу IP адреса которые отправляют мне DNS запрос, их уже 3000 собралось, я понимаю что это наверно не реальные атакующие, а подставные IP. Как можно вычислить реальный IP атакующего и возможно ли это сделать на микромире?
Спасибо.
Я вижу, что Вы вычисляете реальный IP атакующего. У меня микротик я вижу IP адреса которые отправляют мне DNS запрос, их уже 3000 собралось, я понимаю что это наверно не реальные атакующие, а подставные IP. Как можно вычислить реальный IP атакующего и возможно ли это сделать на микромире?
Спасибо.
Sign up to leave a comment.
DNS Amplification (DNS усиление)