
<div dir="ltr"><div class="gmail_extra"><div><div>Eduardo,<br></div>Lo que dices es correcto, pero creo que no entendiste lo que yo escribí. Es cierto que haciendole una consulta a "-t NS ." no amplifica al utilizar <a href="http://ns1.google.com">ns1.google.com</a>., pero basta con consultar por "<a href="http://google.com">google.com</a>" y obtienes una respuesta de 288 bytes (dig @<a href="http://ns1.google.com">ns1.google.com</a> -t NS <a href="http://google.com">google.com</a>), o sea, amplificas. La diferencia es que no puedes utilizar cualquier consulta (-t NS .) sino que tiene que ser individualizada (-t NS <a href="http://google.com">google.com</a>.) para cada servidor autoritario no recursivo. El consultar por los NS de "." puede o no servir, pero casi siempre va ser posible obtener una amplificación al hacer una consulta válida (que valga la pena el esfuerzo o no es otra cosa).<br>

<br></div>El no responder con los hints del dominio "." es (en mi opinion) una medida adecuada pero de bajo impacto.<br><br></div><div class="gmail_extra">nicolas<br></div><div class="gmail_extra"><br><div class="gmail_quote">

2013/4/2 Eduardo Trápani <span dir="ltr"><<a href="mailto:etrapani@gmail.com" target="_blank">etrapani@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

> En los dos casos que mencionas (<a href="http://ns1.google.com" target="_blank">ns1.google.com</a> <<a href="http://ns1.google.com" target="_blank">http://ns1.google.com</a>> y<br>

> <a href="http://ns1.p34.dynect.net" target="_blank">ns1.p34.dynect.net</a> <<a href="http://ns1.p34.dynect.net" target="_blank">http://ns1.p34.dynect.net</a>>) hay amplificación a<br>

<div class="im">> pesar de que ninguno de los dos son recursivos.<br>

<br>

</div>Nicolás, estabamos viendo el tema de los ataques *sin* recursión. Yo no<br>

entendía cómo participaban y cómo mitigarlo.  El artículo que mandó<br>

Carlos[1] explica todo bien, en particular por qué lo que decís arriba<br>

no es correcto.  Está bueno.<br>

<br>

Lo intento explicar yo, con prosa menos elegante y habiendo usado el<br>

wireshark: sin la recursión en el caso de Google *no* hay amplificación<br>

(entran 42 bytes, salen 42).  En el caso de Twitter *sí* la hay (61 / 272).<br>

<br>

Mirá la consulta de nuevo, no hay recursión involucrada, sino<br>

aprovecharse de una respuesta por defecto que dan los servidores<br>

autoritativos, que te tiran los hints.<br>

<br>

dig @servidor.autoritativo.no.recursivo -t ns .<br>

<br>

Y no estaba mal del todo esa respuesta, en un mundo ideal, sin malicia,<br>

alcanzaba con conocer un servidor autoritativo y podés encontrar la raíz<br>

pidiendo a ese los hints.  Es parte de la distribución.<br>

<br>

En el mundo al que vamos tenés que conocer la raíz vos, o tener acceso a<br>

un recursivo o conocer el autoritativo del dominio que querés.<br>

Probablemente todos tengan acceso a un recursivo (por lo menos para<br>

algunas zonas), así que no es grave.<br>

<div class="im"><br>

> recursivos, mientras que con un servidor autoritativo no recursivo (como<br>

</div>> <a href="http://ns1.google.com" target="_blank">ns1.google.com</a> <<a href="http://ns1.google.com" target="_blank">http://ns1.google.com</a>>) hay que hacer un mayor esfuerzo<br>

<div class="im">> puesto que tienes que individualizar la consulta para obtener una<br>

> respuesta grande<br>

<br>

</div>Eso tampoco es cierto.  La consulta que citaba ("-t ns .") no está muy<br>

personalizada que digamos :) y amplifica igual en un monton de<br>

servidores autoritativos y bien configurados (salvo que el responder con<br>

los hints esté desaconsejado en un BCP o un RFC)<br>

<br>

Para probar (script desprolija pero funcional :) pide no recursivamente<br>

un "-t ns ." al primer ns para ese dominio):<br>

<br>

while read a; do host -t ns $a | grep -q "no NS record" || dig<br>

+norecurse @$(host -t ns $a | head -1 | awk '{print $4}') -t ns .;echo<br>

"----------"; done<br>

<br>

Vas poniendo de a uno los dominios: <a href="http://google.com" target="_blank">google.com</a>, <a href="http://hotmail.com" target="_blank">hotmail.com</a>, <a href="http://bing.com" target="_blank">bing.com</a>,<br>

<a href="http://slashdot.org" target="_blank">slashdot.org</a>, <a href="http://twitter.org" target="_blank">twitter.org</a>, <a href="http://dyndns.tv" target="_blank">dyndns.tv</a>, <a href="http://apnic.org" target="_blank">apnic.org</a> y ahí ves las<br>


respuestas, si están vacías (rechazadas), está bien, sino, están<br>

amplificando.  Puse de los dos tipos.  Los grandes en general están en<br>

CDN y no manejan sus propios autoritativos.  Muchos chicos tienen<br>

hosting y tampoco los manejan.  Eso reduce el problema.  Pero algunos<br>

como <a href="http://ibm.com" target="_blank">ibm.com</a> listan todos el hints, con información adicional que<br>

incluye IPv4 e IPv6, amplificando todavía más.<br>

<br>

¡Twitter cambió el dns y ya no está amplificando! ¿Leerán la lista? ;)<br>

Si IBM también lo hace podemos considerar que nuestras charlas tienen<br>

impacto global :).<br>

<br>

Eduardo.<br>

<br>

[1]<br>

<a href="http://www.secureworks.com/cyber-threat-intelligence/threats/dns-amplification/" target="_blank">http://www.secureworks.com/cyber-threat-intelligence/threats/dns-amplification/</a><br>

<div class="HOEnZb"><div class="h5">_______________________________________________<br>

LACNOG mailing list<br>

<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>

Cancelar suscripcion: <a href="mailto:lacnog-unsubscribe@lacnic.net">lacnog-unsubscribe@lacnic.net</a><br>

</div></div></blockquote></div><br><br clear="all"><br>-- <br>Key fingerprint = E6A9 91D9 F47E 8A0B 5A91  DAED 131D CFBC ED36 0956<br>Old fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF

</div></div>