[lacnog] Blog post - Identificando servidores DNS IPv6 Open Resolvers

Fernando Gont fgont en si6networks.com
Vie Abr 13 13:30:14 BRT 2018


Hola, Ale,

On 04/13/2018 05:11 PM, Alejandro Acosta wrote:
[....]
>> 2) Estos 33K son direcciones únicas? En que time-frame de tiempo?
> 
> Si, son únicas.
> Para este caso (aún seguimos trabajando en el proyecto) fueron 4 tomas
> (tcpdump).
> Cada captura dura unas 5 horas las cuales se realizaron en días diferentes.
> 
>> Analizaron el tipo de identificador de interfaz? (por ejemplo, si el
>> timeframe es amplio podrían ser direcciones RFC4941 correspondientes a
>> un mismo sistema -- aunque en general, poco probable).
> 
> Este es un buen punto y de verdad que me está rompiendo la cabeza.
> Perfectamente puede ser RFC4941 sin embargo me costaría pensar que un
> resolver use este direccionamiento.
> Un CPE que haga DNS-Proxy? masquerade?

(pensando en voz alta) En general, las aplicaciones no toman una
direcion explicita sobre este tema, sino que utilizan el comportamiento
"por defecto" del sistema. (Lease, depende de si el OS habilita RFC4941
por defecto, y si, de hacerl, se utilizan direcciones de privacidad por
defecto). Por ejemplo en el caso de Windows, sería muy probable que el
resolver use direcciones temporales.



>> 3) El texto identifica open resolvers, que se sabe que se utilizan para
>> DDoS (nada que discutir acá). La pregunta es: notificaron tambien a
>> 1.1.1.1 y 8.8.8.8? (me refiero a las versiones IPv6 de los mismos). Y
>> cual sea la respuesta a dicha pregunta: por que? :-)
> 
> Las buscamos pero no las conseguimos.

Para cloudflare:  2606:4700:4700::1111 y 2606:4700:4700::1001.  Para
Google, aprece ser cualquier direccion en: 2001:4860:4860::/64

La pregunta es: cual es la visión sobre estos resolvers, que por
definicion, e intencionalmente son abiertos?



>> Critica: Hubieras esperado a presentarlo en el FTL ;-)
> 
> Creo que por algún lado me hubiesen criticado :-).., no la ganaba por
> ningún lado, jaja

Jaja. "Ginsberg's theorem": 1) You can't win. 2) You can't break even.
3) You can't even quite the game.   :-)


Abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG