[lacnog] Documento sobre configuracion de DNS recursivos

Nicolás Ruiz nicoruiz en gmail.com
Lun Abr 1 20:21:11 BRT 2013


En los dos casos que mencionas (ns1.google.com y ns1.p34.dynect.net) hay
amplificación a pesar de que ninguno de los dos son recursivos. La
diferencia esta en que un servidor recursivo (como 8.8.8.8) es
relativamente fácil obtener una amplificacion de 100x (como lo comentan en
el blog de cloudfare
http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet ) y
puedes utilizar la misma consulta contra todos los servidores recursivos,
mientras que con un servidor autoritativo no recursivo (como ns1.google.com)
hay que hacer un mayor esfuerzo puesto que tienes que individualizar la
consulta para obtener una respuesta grande (por ejemplo "dig
@ns1.google.com-t ns
google.com." ) y posiblemente no sea posible obtener una amplificación tan
grande.

nicolas


2013/4/1 Eduardo Trápani <etrapani en gmail.com>

> > Un servidor autoritativo que no ofrece recursión va a responder a
> > consultas válidas para su zona(s). Es más complejo utilizar un servidor
> > autoritativo sin recursión porque el atacante tiene que hacer consultas
> > individualizadas para ese servidor
>
> El artículo que citaba Carlos tiene una manera fácil de "atacar".  Con
> la dirección de origen falsa, le pedís un "NS .", una consulta que es
> pequeña, y la respuesta es ... ¡la lista de root servers!  Y ahí estás
> amplificando.
>
> Compará las salidas de un servidor autoritativo de google (niega los
> hints):
>
> $ dig @ns1.google.com -t ns .
>
> y la de twitter
>
> $ dig @ns1.p34.dynect.net -t ns .
>
> Ahí está la amplificación.
>
> Eduardo.
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>



-- 
Key fingerprint = E6A9 91D9 F47E 8A0B 5A91  DAED 131D CFBC ED36 0956
Old fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20130401/7d7db894/attachment.html>


Más información sobre la lista de distribución LACNOG