Security Week 50: DDoS корневых DNS-серверов, жизнь APT Sofacy, много криптографии

[nikitasius]

Ну и на счет атаки с помощью DNS. nsd, который неправильно сконфигурирован и с отсутствием лимита ANY в iptables дает вот такой «замечательный» результат на «домашнем железе» с 4гб оперативки в ДЦ:

External #.#.#.#, 31.320 flows/300s (104 flows/s), 34.708.000 
packets/300s (115.693 packets/s), 27,152 GByte/300s (741 MBit/s)

Так что не обязательно ботнет будет ддосить ДНСки. Ботнет может использовать криво настроенные сервера чтобы эффективно ддосить корневые (и не только) ДНСы (тот ддос стоил 1.5 Гб траффика ботнету и сгенерил 54Гб).

[f15]

Спасибо, это интересно. Если ваша теория подтвердится применительно к этому кейсу, это будет знатный пример разрушительной опечатки в конфигах.
Вот кстати, свежая новость про облачный сервис Google — 22 часа с ограниченной функциональностью из-за того, что кто-то не дожал Shift: www.theregister.co.uk/2015/12/11/typo_in_case_sensitive_variable_name_caused_google_cloud_outage

[nikitasius]

Надо всего 2 вещи, чтобы такого не было:
1) www.nlnetlabs.nl/blog/2012/10/11/nsd-ratelimit
2) в iptables (подсмотрено тут)

iptables -I INPUT 1 -i eth0 -d внешнийipv4 -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --set
iptables -I INPUT 2 -i eth0 -d внешнийipv4 -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|' -m recent --name dnsanyquery --rcheck --seconds 10 --hitcount 4 -j DROP

[nikitasius]

промазал ответом.

[kuber]

>> и к серьезным перегрузкам на других (всего их 13)
Это не так. Корневых DNS серверов более 500.

[f15]

Цитирую: The 13 root name servers are operated by 12 independent organisations.
Хотя по факту их да, много.

[kuber]

Сами процитировали что-то и сами опровергли эту цитату это просто шикарно.