Le 1 décembre 2015 21:02, Suixo <su...@securem.eu> a écrit : > Le 01/12/2015 19:18, Léo a écrit : >> Est-ce que quelques gars avec de gros tuyau ne pourraient simplement >> pas s'adresser à des résolveurs malencontreusement ouverts placés un >> peu partout autour du globe et leur demandant des TLD inexistants, >> obligeant les résolveurs à interroger les serveurs racine ? > > Qu'on m'arrête si je me plante, mais : > * si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise > les requêtes récursives, donc), qui lui va les transmettre aux serveurs > racines > * alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par > seconde > * à condition de bien randomiser tes requêtes pour ne pas que le serveur > récursif fasse de mise en cache > * et du coup autant envoyer directement tes requêtes aux serveurs racine > > Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux > serveurs racines, et que passer par un réflecteur (résolveur ouvert) ne te > fait pas gagner en bande passante.
Dans le scénario que je mentionne, le but n'est pas d'avoir une amplification, mais simplement de pouvoir viser plus de serveurs racine différents à partir d'un unique point géographique, pour lequel l'anycast l'aurait toujours emmené sur les mêmes machines. Et oui, pour obliger à interroger les racines à chaque requête, ça implique d'avoir un TLD différent par requête. Mais avec quasi 63 octets disponibles, tu as largement de quoi voir venir… > > Un cas classique d'utilisation de ces serveurs, par contre, est quand tu > spoofe l'adresse source (et que tu mets l'IP de ta cible), en interrogeant > par exemple un domaine que tu contrôle pour des enregistrements TXT très > gros. Du coup tu envoies des (petites) requêtes TXT spoofées, et le serveur > récursif (qui cache ces gros résultats) va renvoyer les (grosses) réponses > vers la cible. Et paf, amplification et potentiellement DoS. > > J'ai bon ? > J'imagine que les gourous du DNS pourront me corriger :) > > Mickaël > > PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires > https://news.ycombinator.com/item?id=10655075 > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
