Názory k článku Princip amplification útoků zneužívajících DNS, NTP a SNMP
-
j (neregistrovaný)
Se mi libi, jak autor mele o "spatne nakonfigurovanych systemech"...
"Na úrovní síti je sice možné změně zdrojové adresy zabránit" Ne, to vazne nelze, pokud ma internet fungovat.
"Otevřené resolvery..." lol, kupodivu, DNS je provozovano proto, aby odpovidalo na dotazy, a to komukoli. Jinak se ten "kdokoli" proste IPcka nedozvi, zeano. Rekurzivni DNS stim nema spolecnyho prakticky nic.
Omezeni mnoztvi dotazu nezabrani zhola nicemu, naopak, v dobe desitinasobnych natu povede k tomu, ze si dotycny odstreli svoje potencielni zakazniky.
Jediny skutecny reseni je nepouzivat DNSSEC.
-
Unknown (neregistrovaný)
"Na úrovní síti je sice možné změně zdrojové adresy zabránit"
Ne, to vazne nelze, pokud ma internet fungovat.
To mi jako chtete rict ze kdyz muj hranicni router na me (netranzitni) siti bude zahazovat odesilane packety ktere maji zdrojovou adresu jinou nez z definovanych (mych) rozsahu, tak internet prestane fungovat? Kdyby to takto nakonfigurovali vsichni spravci netranzitnich (za tranzitni pokladam site kde pakety nevznikaji ani nekonci) siti, pak by utoku s podvrzenymi adresami nebylo.
-
Filip JirsákStříbrný podporovatelMůžete mít připojení k internetu od dvou ISP, a je zcela v pořádku, pokud budete přes jednoho ISP odesílat pakety se zdrojovou IP adresou z rozsahu toho druhého ISP. Není to používané masově, ale je to oprávněné použití. Pokud by ISP takový provoz blokoval, měl by o tom zákazníky informovat a měl by jim umožnit pro ně takové blokování vypnout.
-
Filip JirsákStříbrný podporovatel
Ano, je to zcela v pořádku. V odlehlých oblastech světa (třeba ČR v devadesátých letech) se kapacitní připojení k internetu zajišťovalo tak, že kapacitní download šel přes satelit – jenže řešit takhle i upload by bylo příliš drahé, takže upload (u kterého stačí menší kapacita) šel přes obyčejnou telefonní linku.
To, že pakety mezi stejnými koncovými body nemusí vždy putovat stejnou cestou, je jedním ze základních principů IP. PI blok nebo AS jsou hezké věci, ale když mám doma ADSL a garážovou WiFi, byl by to docela overkill (i když v tomhle případě budu muset nejspíš posílat pakety „správnou“ cestou kvůli tomu, že minimálně u té garážové WiFi budu za NATem).
-
vfk (neregistrovaný)
Takové řešení je zpravidla od jednoho ISP, žádný problém v tom nevidím (nikdo Vám nebude u Internetu poskytovat je jeden směr toku).
A pakety pochopitelně putují různými cestami, to je normální - zdrojová IP adresa takového paketu je ale úplně jiná věc a to že odroutujete paket se zdrojovou IP adresou ISP A přes síť IPS B je prostě špatně.
(a nebavím se o nějaké domácí síti, tam snad není potřeba takové redundantní připojení potřeba, když nejde ADSL, tak jedu přes WiFi a naopak... není důvod to používat současně) -
Filip JirsákStříbrný podporovatel
Já na „prostě“ nevěřím. To, že vy něco nepoužíváte, neznamená, že to nemůže použít někdo jiný.
Já neříkám, že to ISP nikdy kontrolovat nemají. Akorát to považuju za podobné opatření, jako blokace odchozích spojení na port tcp/25 nebo únos DNS dotazů na DNS server ISP. Někdy to dává smysl, ale zákazník by o tom měl vždy být informován a měl by mít možnost získat výjimku. Samozřejmě s tím, že pokud pak bude z jeho sítě odcházet nějaký humus, je za to plně zodpovědný a ISP ho může odstřihnout úplně.
-
Filip JirsákStříbrný podporovatel
Podstatné není to, že „na něco existuje RFC“, ale co to RFC říká.
-
Kolemjdoucí (neregistrovaný)
Zase Jirsákovy teoretické konstrukce které s praxí nemají nic společného! Blokování podvržených (t.j. jiných než přidělených) zdrojových adres je na úrovni ISP běžné a zákazníci kterým se to nelíbí mají smůlu, pokud nejsou ochotní investovat do vlastního AS tak se s nimi nikdo bavit nebude.
-
j (neregistrovaný)
Tranzitni jsou na internetu temer vsechny site, jinak by zadny internet neexistoval. Jake prekvapeni ... Internet je totiz (pro nekoho prekvapko) propojeni tisicovek siti, kdy to propojeni, aby bylo funkcni, je deklarovano vyhradne nejakou kapacitou, a dohodou, ze oba dva konce budou predavat to, co pres ten propoj poleze.
V opacnem pripade by to totiz nemohlo fungovat, protoze Franta by neakceptoval Pepovo Ipcka, nebot Pepa ho poslal do <> s nejakym lejstrem...
Mimochodem, mam tu rozsahy ze tri AS, a (zazrak) at uz poslu komunikaci libovolnou z tech tri der, odpoved se mi vraci podle situace/cile/... klidne uplne jinou.
-
Trochu pozdě, já vím.
Kontrola zdrojových IP se logicky musí provádět na koncových částech sítě, tam kde lze bezpečně znát "povolené" IP. Tedy obecně u koncových uživatelů. Lze i na hraničních routerech - vím, co z mé sítě může odcházet. Opravdu nevím, proč bych měl povolit cokoliv, když to cokoliv ani neroutuji, tedy nemám jak vrátit případnou odpověď ...
Obdobně to chodí v u BGP - naprostá většina peerů může mít filtr povolující jen segmenty toho konkrétního peera. Kdyby to nebylo, tak (klidně chybou v konfiguraci) oznámím do zbytku světa, že mám segment třeba Googlu ... to by byla docela sranda, co?A naprosto, ale naprosto stejné je DNS. Můj rekurzivní DNS server nemá za práci nic jiného, než odpovídat svým klientům (na mé síti) na jakýkoliv dotaz a těm ostatním pouze na dotazy na domény, pro které je autoritativní.
Tak to je, bylo a bude ... povolení rekurze komukoliv je prostě zbytečné a z principu nebezpečné.
Omezení dotazů pomocí RRL je poměrně bezpečná věc - nepočítají se jen dotazy z IP, ale pomocí trochu složitějšího algoritmu.Ani jedno sice nezabrání případnému zneužití ze strany mé sítě, ale vlastní sítě máme přeci jenom pod kontrolou, že? Čili to dokážeme rozpoznat a vyřešit ... na rozdíl od zneužití z Kamčatky.
-
wrigley (neregistrovaný)
Chtel bych zminit jednu velmi neprijemnou zkusenost. K DDoS utokum pomoci amplifikace jsou casto zneuzity nic netusici DSL zakaznici, resp. jejich modemy. Je spousta levnych ale i drazsich modemu (routeru), ktere na WAN rozhrani poslouchaji svym vlastnim resolverem a z Internetu vam zresolvi cokoliv za pomoci siti pridelenych rekursivnich DNS poskytovatele, kam dotaz forwarduji. Neda se proti tomu prakticky branit. Rekurzi vypnout nemuzete. Omezeni na IP adresy klientu je k nicemu - pta se legitimni klient. Rate-limiting je problem optimalne nastavit a jedine, co vam zbyde, je ubit to vykonem. Namitnete-li, ze takove klienty proste odriznete, tak neodriznete, pokud jich je treba 10.000, protoze pak ten problem jen prelijete nekam jinam. Problemy se tykaji vsech DSL provideru v CR.
-
Filip JirsákStříbrný podporovatel
Kdo DSL zákazníkům ty modemy dodává? Nejsou to převážně jejich ISP, kteří jsou pak tím útokem postiženi? To je pak trochu divné, aby si ISP stěžoval, co má jeho zákazník za modem, když mu ho sám dodal...
-
Přidal bych informaci, že v poslední době jsou oblíbené UDP floody zneužívající SSDP protokol na portu 1900, které mají amplifikační faktor cca 30x. Více viz:
https://www.us-cert.gov/ncas/alerts/TA14-017A
http://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol
Bylo by fajn identifikovat zařízení, které se nejčastěji zneužívají a postup, jak je zabezpečit.
-
ebik (neregistrovaný)
... Implementací tohoto mechanismu sice zabráníte, aby nebyla vaše síť zneužita útočníkem, avšak nezabráníte útočníkovi ve zneužití vašich služeb. ...
To čemu se nezabrání je útok na "vaše služby", to ale imho není "zneužití" v kontextu článku. Ta věta mi zní jako: nemůžete být útočníkem zneužit, ale útočník vás zneužít může.
ČLÁNKY DO MAILU