[GTER] DDoS de ontem e o de amanhã - Lições Aprendidas?

[Rubens Kuhl]

>
> Como complemento, com dig testei validação de DNSSEC nesses servidores, e
> 12% se mostraram com "dnssec-validate yes" (ou equivalente).
>

dnssec-validate não é a questão, o que importa é suportar EDNS. Suportando
EDNS, se faz query com DO para uma zona que esteja assinada com DNSSEC. E a
grande maioria hoje suporta EDNS, bem mais que 12%...




> Não sei se todos estão cientes aqui (todos creio que não) mas há alguns
> anos atrás o Daniel Julius Bernstein (qmail, djbdns, etc) publicou um
> paperzinho (irresponsavelmente? full disclosure pra que te quero…)
> ensinando com meia duzia de awk/sed/dig como gerar amplificação de 5x com
> DNSSEC e usou o twitter.com e logico isc.org e vixie.org de exemplo.
> Gerou 20Gbit/s de tráfego pra cima do twitter. De 1 única máquina iniciando
> a amplificação. Hoje spamhaus não tem mais DNSSEC publicado e se vocês
> derem dig +dnssec no twitter.com verão que twitter também não.
>
>
Mas não adianta um alvo de ataque remover DNSSEC da própria zona; basta
continuar perguntando de isc.org e vixie.org, ou de outras zonas de
amplificação. Dá para fazer também muito facilmente amplificação sem
DNSSEC: coloca-se um registro TXT numa zona não-assinada, por exemplo um
que vi era um record TX
"AnonymousAnonymousAnonymousAnonymousAnonymousAnonymousAnonymousAnonymousAnonymousAnonymous"
(no máximo tamanho de record).

O que é muito eficaz contra esse tipo de problema, quer com DNS quer com
DNSSEC, é RRL:

--------------

NSD 3.2.15

Feb 4, 2013
Features

Support for ILNP RR types: NID, L32, L64, LP (RFC6742).
RRL, --enable-ratelimit at configure time and config options.
TSIG initialization only fails when there is no digest found at all.


-----------------

http://ss.vix.com/~vixie/isc-tn-2012-1.txt


Rubens