В документе "DNS Amplification Attacks (http://www.isotf.org/news/DNS-Amplification-Attacks.pdf)" (PDF, 220 Кб) описывается техника нового вида DDoS, атак использованная несколько недель назад для блокирования работы ряда западных ресурсов.

Суть в направлении на множество различных DNS серверов в сети запросов с поддельным обратным адресом (указан адрес жертвы), поток обратных ответов создает волну трафика блокирующего работу жертвы (с участием 150 тыс. DNS серверов был сгенерирован паразитный поток в 2.8 Гбит/сек).

В дополнение к "open proxy", приходит  понятие "open resolver". Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.

URL: http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
Новость: https://www.opennet.ru/opennews/art.shtml?num=7184

• DNS серверы в роли сети для DDoS атак,John, 16:58 , 22-Мрт-06
  • DNS серверы в роли сети для DDoS атак,pavel, 17:16 , 22-Мрт-06
• DNS серверы в роли сети для DDoS атак,airman, 17:13 , 22-Мрт-06
• DNS серверы в роли сети для DDoS атак,airman, 17:17 , 22-Мрт-06
• DNS серверы в роли сети для DDoS атак,неаноним, 18:58 , 22-Мрт-06
• DNS серверы в роли сети для DDoS атак,pavlinux, 22:47 , 22-Мрт-06
• DNS серверы в роли сети для DDoS атак,Аноним, 23:45 , 22-Мрт-06
  • DNS серверы в роли сети для DDoS атак,pavlinux, 23:57 , 22-Мрт-06
    • DNS серверы в роли сети для DDoS атак,pavlinux, 23:58 , 22-Мрт-06
• DNS серверы в роли сети для DDoS атак,Floyd, 08:41 , 23-Мрт-06
• DNS серверы в роли сети для DDoS атак,Аноним, 10:38 , 23-Мрт-06
  • DNS серверы в роли сети для DDoS атак,SG, 12:12 , 23-Мрт-06
    • DNS серверы в роли сети для DDoS атак,pavlinux, 12:58 , 23-Мрт-06
      • DNS серверы в роли сети для DDoS атак,Аноним, 17:59 , 23-Мрт-06
        • DNS серверы в роли сети для DDoS атак,аноним, 22:06 , 23-Мрт-06
• DNS серверы в роли сети для DDoS атак,Floyd, 14:06 , 23-Мрт-06
  • DNS серверы в роли сети для DDoS атак,pavlinux, 01:10 , 24-Мрт-06
    • DNS серверы в роли сети для DDoS атак,Hawk, 09:31 , 24-Мрт-06
      • DNS серверы в роли сети для DDoS атак,Dimez, 09:43 , 24-Мрт-06
        • DNS серверы в роли сети для DDoS атак,Dimez, 09:45 , 24-Мрт-06
  • DNS серверы в роли сети для DDoS атак,4yka, 09:25 , 24-Мрт-06

>Рекомендуется ограничить доступ к рекурсивным DNS серверам только для локальной сети.

Ну это само-собой, но это не решает проблемы для авторитативного сервера, когда приходит запрос на обслуживаемые им ресурсы.

Для авторитативного надо прежде знать,куда запрос посылать.
А это меняет технику атаки. BTW , кто-нибудь слышал о том,
что в этой атаке учавствовали именно нерекурсивные авторитативные DNS?

Такую атаку пережили в течении недели с 12 октября 2006 года. Поток был около 100 мегабит.

ой не 2006 а 2005

именно так кто-то положил dalnet в свое время

  Чего-то я не вкуриваю, у всех что,настроено так, что можно всем ими пользоватся?
Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.

>Т.е. я могу у себя в /etc/resolv.conf прописать любой DNS. Бред.

Ну не любой, а почти любой. При чем с каждым годом кол-во "почти" неизменно уменьшается. Не быстро, но уменьшается.

...Значит я один такой ламер, всем кроме локальных юзеров разрешал.

Гы... наоборот...
Всем запрещал, кроме локалки :)

Мотод-то дедовский, подобная методика еще лет 5 назад была описана в книге "Атака на интернет", основной смысл которой забить канал к жертве.

ребят а никто непробовал от атак спасатся дедовским, и очень зверским методом, типа рестарт inet.d. или кеш днс завести себе

ты суть атаки не уловил? вроде и для ребенка ясно:
посылается на днс сервер запрос, мол дай мне тота, желательно потолще. а src адрес подставляется не свой, а из сети жертвы. и так на тысячи днс серверов одновременно.

хотя какой-то извратный метод. все равно нада генерить дохера запросов с кучи компов. проще зомби-сеть натравить...

Сам-то понял что придумал :)

  Количество ответов от DNS сервера всегда будет = кол-ву запросов.
Т.е. по твоему, (как в примере генерирование 2Gb/s трафыка),
надо каждому DNS серверу послать запрос, только поменять source-IP,
который на отвечающем DNS превратится в destination-IP (жертвы).
  Теперь давай представим соотношение Запрос/ответ и платформу клиент/сервер.
По идее самого определения "Сервер" - кол-во ответов сервисов на экспоненту
превышает кол-во запросов, как по трафику так и по кол-ву. Так что, я думаю
нагрузка будет примерно одинаковой, даже скорее DoS наступит на твоей машине.
  Другое дело DDoS - но это уже из другой сказки.

Мдааа .... Нонешние линуксоиды грамотеи почище видоводов :( Ты подумай головой, павлинукс, может втыкнеШЪ.

Ну зачем так грубо? Человек просто не знает о способах генерации паразитного трафика за чужой счёт.

Ответ на запрос может превышать в 10 раз длинну запроса. В заметки говориться о DDoS, т.е. группа скомпрометированных машин генерирует к примеру 10 000 пакетов в секуду размером примерно по 30h-40h байт на n серверов. В результате в сторону жертвы генерируется трафик равный 10 00040h*10*n байт в секунду! При этом порт назначения находиться выше 1024 или равен 53 (хотя это не обязательно).

  Самый простой способ защиты конфигурирование соответствующим образом QoS на последнем коммутаторе (узле)(задание соответствующего максимального уровня dns трафика)  в напрвлении жертвы на основании порта источника (53). Хотя если забили канал выше то уже нечего не поможет =).  Собственно нечего в этом инновационного нет.

...Дык, и я об этом хотел сказать,  только плохо получилось :)

Вот все тут говорят, но я не догоняю, как можно отдать днс только локальным юзерам, если у тебя своя зона, которую ресолвит твой сервер?

1) 2 view в bind: внутренняя и внешняя
2) пользователям из внешней view запретить recursion

Лучше, конечно, DNS держащий зону и кэширующий DNS разнести.

В статье говорится о множителе даже не 10 а 60 =)