Le 01/12/2015 19:18, Léo a écrit :
> Est-ce que quelques gars avec de gros tuyau ne pourraient simplement
> pas s'adresser à des résolveurs malencontreusement ouverts placés un
> peu partout autour du globe et leur demandant des TLD inexistants,
> obligeant les résolveurs à interroger les serveurs racine ?

Qu'on m'arrête si je me plante, mais :
* si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise 
les requêtes récursives, donc), qui lui va les transmettre aux serveurs racines
* alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par 
seconde
* à condition de bien randomiser tes requêtes pour ne pas que le serveur 
récursif fasse de mise en cache
* et du coup autant envoyer directement tes requêtes aux serveurs racine

Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux serveurs 
racines, et que passer par un réflecteur (résolveur ouvert) ne te fait pas 
gagner en bande passante.

Un cas classique d'utilisation de ces serveurs, par contre, est quand tu spoofe 
l'adresse source (et que tu mets l'IP de ta cible), en interrogeant par exemple 
un domaine que tu contrôle pour des enregistrements TXT très gros. Du coup tu 
envoies des (petites) requêtes TXT spoofées, et le serveur récursif (qui cache 
ces gros résultats) va renvoyer les (grosses) réponses vers la cible. Et paf, 
amplification et potentiellement DoS.

J'ai bon ?
J'imagine que les gourous du DNS pourront me corriger :)

Mickaël

PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires 
https://news.ycombinator.com/item?id=10655075


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à