[lacnog] Documento sobre configuracion de DNS recursivos

Nicolás Ruiz nicoruiz en gmail.com
Mar Abr 2 12:29:04 BRT 2013


Eduardo,
Lo que dices es correcto, pero creo que no entendiste lo que yo escribí. Es
cierto que haciendole una consulta a "-t NS ." no amplifica al utilizar
ns1.google.com., pero basta con consultar por "google.com" y obtienes una
respuesta de 288 bytes (dig @ns1.google.com -t NS google.com), o sea,
amplificas. La diferencia es que no puedes utilizar cualquier consulta (-t
NS .) sino que tiene que ser individualizada (-t NS google.com.) para cada
servidor autoritario no recursivo. El consultar por los NS de "." puede o
no servir, pero casi siempre va ser posible obtener una amplificación al
hacer una consulta válida (que valga la pena el esfuerzo o no es otra cosa).

El no responder con los hints del dominio "." es (en mi opinion) una medida
adecuada pero de bajo impacto.

nicolas

2013/4/2 Eduardo Trápani <etrapani en gmail.com>

> > En los dos casos que mencionas (ns1.google.com <http://ns1.google.com> y
> > ns1.p34.dynect.net <http://ns1.p34.dynect.net>) hay amplificación a
> > pesar de que ninguno de los dos son recursivos.
>
> Nicolás, estabamos viendo el tema de los ataques *sin* recursión. Yo no
> entendía cómo participaban y cómo mitigarlo.  El artículo que mandó
> Carlos[1] explica todo bien, en particular por qué lo que decís arriba
> no es correcto.  Está bueno.
>
> Lo intento explicar yo, con prosa menos elegante y habiendo usado el
> wireshark: sin la recursión en el caso de Google *no* hay amplificación
> (entran 42 bytes, salen 42).  En el caso de Twitter *sí* la hay (61 / 272).
>
> Mirá la consulta de nuevo, no hay recursión involucrada, sino
> aprovecharse de una respuesta por defecto que dan los servidores
> autoritativos, que te tiran los hints.
>
> dig @servidor.autoritativo.no.recursivo -t ns .
>
> Y no estaba mal del todo esa respuesta, en un mundo ideal, sin malicia,
> alcanzaba con conocer un servidor autoritativo y podés encontrar la raíz
> pidiendo a ese los hints.  Es parte de la distribución.
>
> En el mundo al que vamos tenés que conocer la raíz vos, o tener acceso a
> un recursivo o conocer el autoritativo del dominio que querés.
> Probablemente todos tengan acceso a un recursivo (por lo menos para
> algunas zonas), así que no es grave.
>
> > recursivos, mientras que con un servidor autoritativo no recursivo (como
> > ns1.google.com <http://ns1.google.com>) hay que hacer un mayor esfuerzo
> > puesto que tienes que individualizar la consulta para obtener una
> > respuesta grande
>
> Eso tampoco es cierto.  La consulta que citaba ("-t ns .") no está muy
> personalizada que digamos :) y amplifica igual en un monton de
> servidores autoritativos y bien configurados (salvo que el responder con
> los hints esté desaconsejado en un BCP o un RFC)
>
> Para probar (script desprolija pero funcional :) pide no recursivamente
> un "-t ns ." al primer ns para ese dominio):
>
> while read a; do host -t ns $a | grep -q "no NS record" || dig
> +norecurse @$(host -t ns $a | head -1 | awk '{print $4}') -t ns .;echo
> "----------"; done
>
> Vas poniendo de a uno los dominios: google.com, hotmail.com, bing.com,
> slashdot.org, twitter.org, dyndns.tv, apnic.org y ahí ves las
> respuestas, si están vacías (rechazadas), está bien, sino, están
> amplificando.  Puse de los dos tipos.  Los grandes en general están en
> CDN y no manejan sus propios autoritativos.  Muchos chicos tienen
> hosting y tampoco los manejan.  Eso reduce el problema.  Pero algunos
> como ibm.com listan todos el hints, con información adicional que
> incluye IPv4 e IPv6, amplificando todavía más.
>
> ¡Twitter cambió el dns y ya no está amplificando! ¿Leerán la lista? ;)
> Si IBM también lo hace podemos considerar que nuestras charlas tienen
> impacto global :).
>
> Eduardo.
>
> [1]
>
> http://www.secureworks.com/cyber-threat-intelligence/threats/dns-amplification/
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>



-- 
Key fingerprint = E6A9 91D9 F47E 8A0B 5A91  DAED 131D CFBC ED36 0956
Old fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20130402/84674b55/attachment.html>


Más información sobre la lista de distribución LACNOG