Le 1 décembre 2015 21:02, Suixo <su...@securem.eu> a écrit :
> Le 01/12/2015 19:18, Léo a écrit :
>> Est-ce que quelques gars avec de gros tuyau ne pourraient simplement
>> pas s'adresser à des résolveurs malencontreusement ouverts placés un
>> peu partout autour du globe et leur demandant des TLD inexistants,
>> obligeant les résolveurs à interroger les serveurs racine ?
>
> Qu'on m'arrête si je me plante, mais :
> * si tu envoies 1000 requêtes par seconde à un résolveur ouvert (qui autorise 
> les requêtes récursives, donc), qui lui va les transmettre aux serveurs 
> racines
> * alors tu ne produis sur le serveur (racine) cible que 1000 requêtes par 
> seconde
> * à condition de bien randomiser tes requêtes pour ne pas que le serveur 
> récursif fasse de mise en cache
> * et du coup autant envoyer directement tes requêtes aux serveurs racine
>
> Je fais l'hypothèse que ton gros tuyau te permet de tuyauter jusqu'aux 
> serveurs racines, et que passer par un réflecteur (résolveur ouvert) ne te 
> fait pas gagner en bande passante.

Dans le scénario que je mentionne, le but n'est pas d'avoir une
amplification, mais simplement de pouvoir viser plus de serveurs
racine différents à partir d'un unique point géographique, pour lequel
l'anycast l'aurait toujours emmené sur les mêmes machines. Et oui,
pour obliger à interroger les racines à chaque requête, ça implique
d'avoir un TLD différent par requête. Mais avec quasi 63 octets
disponibles, tu as largement de quoi voir venir…

>
> Un cas classique d'utilisation de ces serveurs, par contre, est quand tu 
> spoofe l'adresse source (et que tu mets l'IP de ta cible), en interrogeant 
> par exemple un domaine que tu contrôle pour des enregistrements TXT très 
> gros. Du coup tu envoies des (petites) requêtes TXT spoofées, et le serveur 
> récursif (qui cache ces gros résultats) va renvoyer les (grosses) réponses 
> vers la cible. Et paf, amplification et potentiellement DoS.
>
> J'ai bon ?
> J'imagine que les gourous du DNS pourront me corriger :)
>
> Mickaël
>
> PS: J'aurais bien aimé avoir l'avis d'un Bortzmeyer sur ces commentaires 
> https://news.ycombinator.com/item?id=10655075
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à