Pull to refresh

Comments 61

отличный, уникальный материал, изложение на высоте
читать было очень интересно, спасибо
Так вы помогите ему перенести — поднимите карму человеку ;)
Я сразу добавил кармы, уже достаточно для переноса ;)
UFO landed and left these words here
UFO landed and left these words here
теперь по идее перенести сможете. Отличный материал.
Хотелось бы узнать какова была сила атаки и как поднялась/упала нагрузка на систему после включения этих правил?
Честно говоря я пока не проводил сравнение производительности сервера с/без правил, но думаю нагрузка снятая с bind все равно стоит того чтобы правила существовали, даже, если добавилась пара правил в iptables
Просто парсинг каждого udp пакета на некий стринг со смещением — достаточно затратная операция, не?
а вот, кстати, интересно каждый ли? Ведь там указывается еще и интерфейс и порт, что значительно сужает круг проверяемых пакетов.
Что касается затратности — посмотрите ещё модуль u32, возможно он будет побыстрее делать поиск.
Хотя я не думаю, что сравнение 4 байт — это затратная операция.
recent прикручен, чтобы не блокировать всех подряд, а только тех, кто посылает запросы в большом количестве
А кто создаёт нагрузку основную, как не те, кто флудит?
Парсинг его в iptables еще в ядре явно дешевле, чем парсить его bind-ом.
Извините ради бога за хайджекинг, не срите в карму, у меня ее и так нет чтобы написать к себе в блог, но ЭТО должен видеть каждый:

— i.gizmodo.com/5150189/so-mean-but-maybe-true-nsfw
Очень жесткий, но очень прапвдивый стеб над всей индустрией электроники. Ничего личного к сони. Я даже перевод сделал:

Ведущий:
Любители современных технологий сегодня выстраиваются в очередь чтобы стать первыми обладателями свежей непонятной тупой х**вины от Sony, которая нихрена не делает того, для чего, бля, она создана. Подробности от нашего обозревателя последних цифровых технологий — Джефа Тейта.

Джеф Тейт:
Спасибо Брэндон. Устройство уже было названо «Самым тупым способом выкинуть кучу бабла за последние годы». Новая хреновина от Sony уже заполонила собой все супермаркеты и магазины электроники с завышеными ценами по всей стране.

Прохожий:
Ну это, тут же намного больше памяти, и мегапикселей, и ваще всяких штуковин которые нужны абсолютно каждому, так что я не могу дождаться когда я приду домой и потрачу весь вечер в попытках подключитьэту хренотень.

Джеф Тейт:
Если вы каким-то макаром все-таки прорветесь через упаковку, которую невозможно открыть, этот кусок говна предложит вам целый набор раздражающих функций, как например непонятные мигающие слова и цифры на экране, нежелание выполнять е**ные функции, на которые это дерьмо рассчитано, а также полная готовность быть последней е**ной электронной х**ней которую вы когда либо в жизни купили, чтоб б**ть ее разорвало и медведь в сибири е**л во все разъемы.
Представитель Sony, Элан Камптон заявляет, что компания разработала эту б**дскую х**ню чтобы каждая семья в современном доме захотела вырвать себе гребаные глаза.

Элан Камптон:
Мы внимательно прислушались к просьбам наших клентов, которые пожелали иметь самую навороченую систему домашних развлечений и результатом нашей работы стала вот эта х**вина, которой невозможно пользоваться.

Джеф Тейт:
Если вы вдруг заблудились в вагоне загадочных функций устройства, вам поможет интерактивное меню с инструкцией, огромным лабиринтом, состоящим из совершенно непонятных нормальному человеку заголовков.

Элан Камптон:
Мы хотим чтобы люди по всей стране орали от раздражения: «Работай! Сука, твою мать, работай, гребаный ты кусок дерьма! Что ты, б**ть, от меня хочешь, почему ты не работаешь?!»

Джеф Тейт:
С рекламной компанией в сотни миллионов долларов, которая позволила разместить тупые баннеры с этой пластиковой х**ней в каждом гребаном углу, куда ни посмотришь, Sony рассичтывает сделать свое детище полнейшим мастбаев для любого человека, если тот не хочет показаться пингвином с южного полюса, который ваще в тезнике нихрена не шарит.

Прохожий:
Я люблю всякую муть вроде этой. Я ваще покупаю каждую чертову хрень, которую увижу в рекламе.

Джеф Тейт:
Вы можете купить гребаный кусок дерьма уже сейчас, а потом пригласить всех своих друзей, чтоб они заценили хреновину, а также может смогли бы в ней разобратьсяв этом чертовом поглотителе свободного времени. И даже если ваши друзья это Друзь, Поташов и Вассерман — Sony обещает что у них нету ваще никаких шансов. Для Onion News Network, Джеф Тейт

Ведущий:
Спасибо Джеф. Сони заявила, что готова выпустить 80Гб модель этой х**тени к концу года, как раз когда вы разберетесь с пультом. Бл*, да когдаж они сдохнут все.

Про некую среднестатистическую новинку в мире высоких технологий.
Хабр почему-то видоизменил ссылку, вот она: i.gizmodo.com/5150189/so-mean-but-maybe-true-nsfw
а зачем нужно было это постить в этом топике?
А где еще мне это запостить? Ваши предложения?
P.S.: Я извинился перед автором статьи заранее.
Подождали бы какой-нибудь тематической статьи или в песочницу кинули бы.
принесение извинений 'заранее ' не тоже самое что автор принял их, а тем более остальное сообщество
Лишний раз убедился что Хабр это сообщество отзывчивых людей, готовых к взаимовыручке. Спасибо вам, друзья! :)
UFO landed and left these words here
В принципе, да. Там не такой большой входящий трафик был чтобы его увидеть где-то еще
UFO landed and left these words here
Подробности о том, что установлено на сервере, я разглашать не могу из соображений безопасности
UFO landed and left these words here
Еще бы понять, как на authoritative ns избежать сего.
В любом случае DNS-ответ ВСЕГДА больше DNS запроса, т.к. включает его.

Возьмём, к примеру, запрос mx на gmail.com. Получаем 55 байт в запросе и 314 в ответе.
Да, это проблема. Метод, предложенный мной, кстати, работать будет только до тех пор пока атакующие не решат использовать другие запросы/типы запросов. Но пока этого не предвидится можно обойтись и так. К тому же если использовать для атаки тот же mx и gmail.com. Сразу встают несколько вопросов. Во-первых 55>17, а это значит лишний трафик атакующему, во-вторых mx сработает не на кого угодно, а только на крупных mail-серверах (которых явно меньше чем простых dns-серверов, разбросанных по сети), в-третьих на крупных mail-серверах есть гораздо больше возможностей для фильтрации и детектирования аномальной активности, да и вообще к ИТ-безопасности там относятся серьезней. Резюмируя все вышесказанное не думаю что злоумышленники решат пойти на такой шаг (imho)
Я говорю лишь про то, что проблема протокола фундаментальная, думаю, атакующим выгоден почти любой коэффициент усиления — даже в два раза, это уже хорошо. Например, попросим MX yandex-company.ru — 63 байта, в ответ вернётся nonexistent с SOA от ru. размером 121 байт.
Кстати, у вас ссылка на secure bind template, там предлагают включить additional-from-cache no.
Но не знаю, поможет ли оно.
ААА!!! Автор, я ваш фанат теперь! Пишите еще! Очень, очень интересно и познавательно :) Спасибо!
Пожалуйста. Писать в пустую не люблю, если появится интересная и актуальная тема, то тогда может быть.
UFO landed and left these words here
Не стоит быть столь самокритичным)
UFO landed and left these words here
Спасибо за статью, а особенно за разжёванные правила ipt_recent.
UFO landed and left these words here
У вас нестыковочка:
--from 36 — ищем начиная с 40 байта
Да, ошибся в последнем блоке правил, еще забыл iptables в начале поставить. Спасибо за указание.
должно быть действительно 40
Спасибо :) очень итересно!
Но атакующие тоже хитерцы. В их запросы заложен процент «правильных пакетов», то есть пакетов с их собственным обратным адресом.
Ведут статистику чтобы вычеркивать из сиписка отбракованные ДНС сервера. :) Вот у Вас и снизилось количество пакетов со стороны атакующих.
Остались те кто не ведёт статистику :)
Какой 2006ой? Этот тип атаки рассматривали в неплохом, на тот момент, журнале Хакер за декабрь 2002го.
Разве что тогда это не называли DNS Amplification.
Надо переходить на использование TCP для DNS-а ;)
А зачем, в общем случае, на публичном интерфейсе отвечать на запрос "."?
Если есть юзеры вне сети, у которых мой DNS проставлен в настройках, то может понадобиться. Хотя вообще конечно, это перестраховка.
раз уж у вас iptables может сразу нарушителей в tarpit укладывать?
Думал про tarpit. Не приходилось доселе его использовать (кстати надо будет попробовать), но, если я не ошибасю, tarpit ведь держит атакующего максимально возможное время, т.е. не закрывает сессию, а сессия подразумевает использование tcp. А данная атака использует не tcp, а udp, здесь вообще нет установки соединения(сессии), а просто посылаются udp-пакеты, а дошли они или нет и сколько они провисели никого не волнует. Резюмируя могу сказать что tarpit в данном случае применить не получится.
хехе, что-то действительно вылетело из головы, что DNS — это UDP =))
Нет. Вот тут не правы. Да, действительно, DNS зачастую использует UDP, но не всегда, в некоторых случаях, а именно:
1. Если обмен идет пакетами данных больше 512 байт.
2. Если идет передача зоны между серверами.
3. Вышестоящий сервер хочет делигировать имя.

то используется не UDP, а TCP.
Однако многие ассоциируют DNS лишь с UDP — это не так.
Однако, забыл уточнить, в данном конкретном случае используется только UDP
Перейдя по вашей ссылке вижу:
connlimit — iptables connlimit match
This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).

Соответственно мой ответ о применимости этого метода в контексте данной проблемы такой же как в случае с юзером SaveTheRbtz и его предложением о tarpit (см. коммент. выше)

Если же вы просто так спросили, пробовал ли я этот модуль, то мой ответ: «Нет, не приходилось»
Привет.
Я вижу, что Вы вычисляете реальный IP атакующего. У меня микротик я вижу IP адреса которые отправляют мне DNS запрос, их уже 3000 собралось, я понимаю что это наверно не реальные атакующие, а подставные IP. Как можно вычислить реальный IP атакующего и возможно ли это сделать на микромире?
Спасибо.
Only those users with full accounts are able to leave comments. Log in, please.