Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака NXNSAttack, затрагивающая все DNS-резолверы"	+/–
Сообщение от opennews (ok), 21-Май-20, 12:53
Группа исследователей из Тель-Авивского университета и Междисциплинарного центра в Герцлии (Израиль) разработала новый метод атаки NXNSAttack (PDF), позволяющий использовать любые DNS-резолверы в качестве усилителей трафика, обеспечивающих степень усиления до 1621 раз по числу пакетов (на каждый отправленный к резолверу запрос, можно добиться отправки на сервер жертвы 1621 запрос) и до 163 раз по трафику... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52995
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от ryoken (ok), 21-Май-20, 12:53	+3 +/–
Хм.. это чтобы по всему глобусу котиков не посмотреть было? :D
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от InuYasha (?), 21-Май-20, 13:06	+9 +/–
Во что вырос DNS! А так всё просто начиналось... )
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от crypt (ok), 21-Май-20, 13:35	+2 +/–
> Comodo Secure (8.26.56.26) - 435 раз и Norton ConnectSafe (199.85.126.10) - 569 раз. не удивлен
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от Жека Воробьев (?), 21-Май-20, 13:37	–7 +/–
да в it вагон и маленькая тележка окаменелых технологий: dns, smtp, http, ipv4/6
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6, #12

5. Сообщение от Fracta1L (ok), 21-Май-20, 13:37	–3 +/–
Очень секурно, очень сейфно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от Fracta1L (ok), 21-Май-20, 13:38	–14 +/–
Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля. Про разжиревший веб даже говорить нечего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #13, #24, #40, #54, #61

8. Сообщение от ryoken (ok), 21-Май-20, 14:19	+/–
Выкапывайте\допиливайте уже NetBEUI :D.
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от КО (?), 21-Май-20, 14:37	+/–
Ежели днс от провайдера, мне, ламеру, секурно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

11. Сообщение от Аноним (11), 21-Май-20, 14:50	+/–
Это не баг, а фича. ИМХО, единственный нормальный способ защиты это DPI, для самых бедных -- fail2ban или что-то в этом духе. Предложенные защиты почему-то нацелены на то, что атакующий сервер является контролируемым и его надо делать защищенным. Однако, имеется достаточно большие ботнеты, где поднять любые сервера не проблема. Решение на DNSSEC-Validated Cache является самодостаточным и походу всех рано или поздно заставят переходить на DNSSEC-сервера.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #38

12. Сообщение от qwe (??), 21-Май-20, 14:53	+13 +/–
Какой жирный. Ща придут неокаменевшие девелоперы и запилят нам правильные протоколы на основе обмена json-ами :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #21

13. Сообщение от qwe (??), 21-Май-20, 14:56	+/–
> Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля. ты вероятно имел ввиду всё что выше tcp-ip. Это правда, всё что поверх http работает надо выкинуть)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #20

14. Сообщение от Аноним (-), 21-Май-20, 14:59	+/–
пока провайдера либо твой (ламера) любимый сайтик не задудосили - то да. У тебя же нет своего (ламерского) ресолвера на арендованом у этого провайдера реальном айпи, так ведь? Если есть - от трёх до пяти, насчёт конфискации не уверен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

15. Сообщение от Аноним (15), 21-Май-20, 15:16	+/–
Хех, а ведь бывают домашние роутеры, светящие во внешний мир 53м портом (таких много среди асусов, например).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

16. Сообщение от YetAnotherOnanym (ok), 21-Май-20, 15:18	–2 +/–
> атакующий может выдать в ответе огромный список не повторяющихся NS-серверов с несуществующими фиктивными именами поддоменов жертвы (fake-1.victim.com, fake-2.victim.com,... fake-1000.victim.com). Резолвер попытается отправить запрос DNS-серверу жертвы, но получит ответ, что домен не найден, после чего попытается определить следующий NS-сервер в списке и так до тех пор пока не переберёт все перечисленные атакующим NS-записи Гениально, чо...
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Онаним (?), 21-Май-20, 15:20	+3 +/–
Про любовь к DNSSEC могу сказать только одно: https://ianix.com/pub/dnssec-outages.html Любитесь с ним сами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #30

20. Сообщение от Аноним (20), 21-Май-20, 16:20	+1 +/–
TCP тоже устарел. Как только не пытаются его раскочегарить, да всё бестолку. Жаль, что SCTP не прижился - была бы отличная замена. А так - теперь все протоколы будут постепенно переползать на UDP (если не уже), и каждый будет изобретать колесо заново.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22, #29

21. Сообщение от Аноним (21), 21-Май-20, 16:22	+10 +/–
С эталонной реализицией на Node.js
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

22. Сообщение от Аноним (22), 21-Май-20, 16:55	+5 +/–
В сетях с потерями 70% пакетов (и 2/3 из оставшегося приходят в произвольном порядке) tcp и сегодня обеспечивает наилучшие показатели. Это спутниковый/мобильный интернет, adsl. Естественно, в оптоволоконных сетях что-нибудь поверх udp может быть лучше, с идеальным соединением куча всего сразу не таким критичным становится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #32, #42, #47

23. Сообщение от псевдонимус (?), 21-Май-20, 16:59	+/–
Хорошая уязвимость. Полезная.
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от vsg (?), 21-Май-20, 17:16	–1 +/–
Уже делается и проходит тестирование.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #26

25. Сообщение от nathoo (?), 21-Май-20, 17:51	–1 +/–
Дело за малым: зарегистрировать валидный DNS на краденый паспорт...
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Fracta1L (ok), 21-Май-20, 18:29	+1 +/–
По какому запросу искать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Alen (??), 21-Май-20, 19:20	+/–
Они кэширующие и к теме не относятся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

28. Сообщение от Ward (?), 21-Май-20, 20:53	–1 +/–
И как вовремя-то. DoH-сервера-то не подвержены.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #37, #39, #41

29. Сообщение от Michael Shigorin (ok), 21-Май-20, 21:04	+1 +/–
> Жаль, что SCTP не прижился - была бы отличная замена. Что ж Вы в нём весь тот вагон дырок сразу не фиксили?..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #43

30. Сообщение от Michael Shigorin (ok), 21-Май-20, 21:10	+2 +/–
> http://ianix.com/pub/dnssec-outages.html Спасибо, вот этого не слышал: DNSSEC is not encrypted, which is responsible for many of its failures. Rather than doing per-message/packet encryption like other secure protocols, DNSSEC was made compatable with censorship and surveillance. To enable censorship and surveillance, an extremely complex and thus fragile protocol was required, thereby resulting in outages, semi-outages, and sometimes just plain bizarre situations.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #33

32. Сообщение от topin89 (ok), 21-Май-20, 21:55	+/–
А разве этот новый протокол не был сделан из-за постоянных проблем с tcp в сотовых сетях? Честное любопытство, я нихера в сетях не разбираюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #36

33. Сообщение от Онаним (?), 21-Май-20, 21:55	+1 +/–
Да не за что. Как сталкивающийся в силу характера деятельности - подтверждаю, DNSSEC - это просто подпись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #58

34. Сообщение от Аноним (34), 21-Май-20, 22:00	+2 +/–
С хрена ли не подвержены если все эти DoH DoT это только прокси к обычному ресолверу?.. не все ли равзно как на тот ресолвер прилетит запрос на ресолв DNS имени атакуещего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от Аноним (35), 21-Май-20, 22:38	+4 +/–
Bind по производительности всех уделал
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

36. Сообщение от Аноним (22), 21-Май-20, 22:49	+/–
Который из? А то они всё решают проблемы, решают, да решить не могут. Какие проблемы у вэба из-за tcp? Практически я вижу, что все эти новые протоколы поверх tcp жёстко проседают на нестабильных сетях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #52, #53

37. Сообщение от Онаним (?), 21-Май-20, 22:57	+/–
> И как вовремя-то. DoH-сервера-то не подвержены. С ДоХ другая проблема, их надо ДоХ чтобы справиться с нагрузкой, либо акселераторы, потому что очень уж монструозно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

38. Сообщение от Ivan_83 (ok), 22-Май-20, 00:08	–1 +/–
Всё гораздо проще - рейтлимиты, и по меньше выставлять резолверы наружу. В современном мире вообще не понятно зачем они сдались пользователям: встроить рекурсивный резолвер можно во что угодно, ресурсов он не жрёт. Поскольку 99% это хомяки то у них будет просто всё работать. Корпораты могут просто днс запросы на шлюзе заворачивать в свой днс сервер, который знает локальные зоны и умеет рекурсию в инет и кеш. Никакие DNSSEC, DoT, DoH - не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #49

39. Сообщение от Ivan_83 (ok), 22-Май-20, 00:09	–1 +/–
Они и не нужны вовсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

40. Сообщение от Аноним (42), 22-Май-20, 02:13	+1 +/–
Что, опять гениев-передельщиков подвезли? Или оттаяли по весне просто?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

41. Сообщение от Аноним (42), 22-Май-20, 02:17	+/–
Это ты сам придумал. DoH это транспорт до клиента, к самому резолверу он никак относится
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

42. Сообщение от Аноним (42), 22-Май-20, 02:20	+/–
Проблема, правда, в алгоритмах congestion control, а не в самом tcp. Надо дефолты менять, а не протокол
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

43. Сообщение от Нолекс (?), 22-Май-20, 02:49	+1 +/–
Так он певец ртом, а не головой...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

44. Сообщение от Нолекс (?), 22-Май-20, 02:55	+1 +/–
двачую...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

45. Сообщение от sn (??), 22-Май-20, 02:56	+/–
А если иметь запись, например *.victim.com. A ns.victim.com. Как думаете поможет?
Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от sn (??), 22-Май-20, 02:58	+/–
вернее CNAME
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от t28 (?), 22-Май-20, 10:16	+3 +/–
> В сетях с потерями 70% пакетов (и 2/3 из оставшегося приходят в произвольном порядке) > tcp и сегодня обеспечивает наилучшие показатели. В сетях с потерей 14% (и более) пакетов TCP не работает от слова "совсем". При потерях до 3,5% еще кое-как живет, а начиная, приблизительно, с 4% доступ к современным сервисам начинает напоминать dial-up. Для доставки инфы в сетях с потерями рекомндую использовать старый проверенный X.25 (но ни в коем случае не поддаваться на разводку под названием XOT).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #48

48. Сообщение от Аноним (22), 22-Май-20, 10:38	+/–
Может, и диалап (задержки действительно были), но вполне работало (и даже очень хорошо), в отличие от альтернативы, которая не позволяла нормально скачивать вообще ничего. А насчёт задержек, сегодня такие сайты, что ответ может идти 5 секунд независимо от качества соединения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #50

49. Сообщение от JL2001 (ok), 22-Май-20, 12:32	+/–
> Корпораты могут просто днс запросы на шлюзе заворачивать в свой днс сервер, > который знает локальные зоны и умеет рекурсию в инет и кеш. > Никакие DNSSEC, DoT, DoH - не нужны. всё с вами понятно, любитель переадресовать на свой айпишник
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

50. Сообщение от JL2001 (ok), 22-Май-20, 12:36	+/–
> Может, и диалап (задержки действительно были), но вполне работало (и даже очень > хорошо), в отличие от альтернативы, которая не позволяла нормально скачивать вообще > ничего. что именно у вас работало? http over tcp ? про какие альтернативы речь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #51

51. Сообщение от Аноним (22), 22-Май-20, 14:00	+/–
Http over tcp (включая модем), socket over tcp (приложуха). Были ещё варианты использовать различные костыли поверх udp и я остался не впечатлён результатами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

52. Сообщение от topin89 (ok), 22-Май-20, 17:14	+1 +/–
> Который из? QUIC
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

53. Сообщение от Lex (??), 23-Май-20, 07:34	+1 +/–
Да кто ж спорит, что у tcp т.н «стабильность» выше. Другое дело, когда речь об активном обмене данными между клиентом и сервером и потребностях в минимальном лаге. TCP, к сожалению, весьма тормозной - вот нередко и пилят какие-то свои поделия в т.ч на более шустром, но не гарантирующем ничего udp
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

54. Сообщение от Tifereth (ok), 24-Май-20, 06:29	+3 +/–
Так и вижу: "сегодня мы отключаем весь Интернет - подождите лет двадцать, может, что эффективнее напишем".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

55. Сообщение от antonimous (?), 24-Май-20, 20:49	+/–
Легаси, ёп. Чемодан без ручки. Причем, везде. arpanet, BIOS, x86 и прочее говно мамонта ибо "бизнес" и "обратная совместимость". XXI век. Деградация технологий ака екстенсивное "развитие".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56

56. Сообщение от Michael Shigorin (ok), 24-Май-20, 20:54	+1 +/–
> Легаси, ёп. Чемодан без ручки. Вы бы знали, каким "легаси" являетесь сами... PS: кто-то подметил, что ссылки на век, год и подобные ахи-охи характерны для секты свидетелей линейного прогресса -- модное западное течение последних нескольких десятилетий и веков (в разную силу), сводящее всё развитие мира к убогому вектору, да ещё и путающее его направленность по знаку (хотя некоторые и там замечают, в итоге появляются словосочетания вроде "highway to hell"). PPS: штаты, кстати, "здесь и сейчас" (tm) подкидывают таким вот лопоухим новые задачки -- например, как одновременно верить в "рынок" и... легитимность мер по принудительному ограничению международной конкуренции.  Ну там, make competition run slower, а то и прям бряк -- impede progress.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #57

57. Сообщение от все такойже ононим как и всегда (?), 25-Май-20, 14:17	+/–
самое весёлое, что в основном легаси то и работает, а смузи решения не очень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

58. Сообщение от suffix (ok), 25-Май-20, 14:28	+/–
Да, но полезная - таже валидация tlsa dane, sshfp
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #59

59. Сообщение от Онаним (?), 25-Май-20, 18:46	+/–
> Да, но полезная - таже валидация tlsa dane, sshfp Первое не работает почти нигде, от слова "совсем", а учитывая, что тот же виндорезолвер валидации DNSSEC не имеет, в винде не заработает ещё дольше. Второе, ну, вы поняли. Слишком узко-специфичное, можно бы было и другими способами реализовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #60

60. Сообщение от suffix (ok), 25-Май-20, 18:49	+/–
> Первое не работает почти нигде, от слова "совсем". В exim работает а это уже хорошо !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

61. Сообщение от AntonAlekseevich (ok), 25-Май-20, 19:31	+/–
> Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля. Согласен, DNS и udp/ip должны жить. А если честно, попробуйте изобрести и затем продемонстрировать новый стек протоколов, так чтобы он был понятен как и***у с первого раза, так и человеку вашего уровня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема