Le 01/12/2015 19:18, Léo a écrit : > Est-ce que quelques gars avec de gros tuyau ne pourraient simplement > pas s'adresser à des résolveurs malencontreusement ouverts placés un > peu partout autour du globe et leur demandant des TLD inexistants, > obligeant les résolveurs à interroger les serveurs racine ?
Qu'on m'arrête si je me plante, mais : * si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise les requêtes récursives, donc), qui lui va les transmettre aux serveurs racines * alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par seconde * à condition de bien randomiser tes requêtes pour ne pas que le serveur récursif fasse de mise en cache * et du coup autant envoyer directement tes requêtes aux serveurs racine Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux serveurs racines, et que passer par un réflecteur (résolveur ouvert) ne te fait pas gagner en bande passante. Un cas classique d'utilisation de ces serveurs, par contre, est quand tu spoofe l'adresse source (et que tu mets l'IP de ta cible), en interrogeant par exemple un domaine que tu contrôle pour des enregistrements TXT très gros. Du coup tu envoies des (petites) requêtes TXT spoofées, et le serveur récursif (qui cache ces gros résultats) va renvoyer les (grosses) réponses vers la cible. Et paf, amplification et potentiellement DoS. J'ai bon ? J'imagine que les gourous du DNS pourront me corriger :) Mickaël PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires https://news.ycombinator.com/item?id=10655075 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/