The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Атака NXNSAttack, затрагивающая все DNS-резолверы"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от opennews (ok), 21-Май-20, 12:53 
Группа исследователей из Тель-Авивского университета и Междисциплинарного центра в Герцлии (Израиль) разработала новый метод атаки NXNSAttack (PDF), позволяющий использовать любые DNS-резолверы в качестве усилителей трафика, обеспечивающих степень усиления до 1621 раз по числу пакетов (на каждый отправленный к резолверу запрос, можно добиться отправки на сервер жертвы 1621 запрос) и до 163 раз по трафику...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52995

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +2 +/
Сообщение от ryoken (ok), 21-Май-20, 12:53 
Хм.. это чтобы по всему глобусу котиков не посмотреть было? :D
Ответить | Правка | Наверх | Cообщить модератору

2. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +9 +/
Сообщение от InuYasha (?), 21-Май-20, 13:06 
Во что вырос DNS! А так всё просто начиналось... )
Ответить | Правка | Наверх | Cообщить модератору

4. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –7 +/
Сообщение от Жека Воробьев (?), 21-Май-20, 13:37 
да в it вагон и маленькая тележка окаменелых технологий: dns, smtp, http, ipv4/6
Ответить | Правка | Наверх | Cообщить модератору

6. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –14 +/
Сообщение от Fracta1L (ok), 21-Май-20, 13:38 
Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля. Про разжиревший веб даже говорить нечего.
Ответить | Правка | Наверх | Cообщить модератору

13. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от qwe (??), 21-Май-20, 14:56 
> Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля.

ты вероятно имел ввиду всё что выше tcp-ip. Это правда, всё что поверх http работает надо выкинуть)

Ответить | Правка | Наверх | Cообщить модератору

20. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Аноним (20), 21-Май-20, 16:20 
TCP тоже устарел. Как только не пытаются его раскочегарить, да всё бестолку. Жаль, что SCTP не прижился - была бы отличная замена. А так - теперь все протоколы будут постепенно переползать на UDP (если не уже), и каждый будет изобретать колесо заново.
Ответить | Правка | Наверх | Cообщить модератору

22. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +3 +/
Сообщение от Аноним (22), 21-Май-20, 16:55 
В сетях с потерями 70% пакетов (и 2/3 из оставшегося приходят в произвольном порядке) tcp и сегодня обеспечивает наилучшие показатели. Это спутниковый/мобильный интернет, adsl. Естественно, в оптоволоконных сетях что-нибудь поверх udp может быть лучше, с идеальным соединением куча всего сразу не таким критичным становится.
Ответить | Правка | Наверх | Cообщить модератору

32. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от topin89 (ok), 21-Май-20, 21:55 
А разве этот новый протокол не был сделан из-за постоянных проблем с tcp в сотовых сетях?
Честное любопытство, я нихера в сетях не разбираюсь.
Ответить | Правка | Наверх | Cообщить модератору

36. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Аноним (22), 21-Май-20, 22:49 
Который из? А то они всё решают проблемы, решают, да решить не могут. Какие проблемы у вэба из-за tcp? Практически я вижу, что все эти новые протоколы поверх tcp жёстко проседают на нестабильных сетях.
Ответить | Правка | Наверх | Cообщить модератору

52. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от topin89 (ok), 22-Май-20, 17:14 
> Который из?

QUIC

Ответить | Правка | Наверх | Cообщить модератору

53. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Lex (??), 23-Май-20, 07:34 
Да кто ж спорит, что у tcp т.н «стабильность» выше.
Другое дело, когда речь об активном обмене данными между клиентом и сервером и потребностях в минимальном лаге.
TCP, к сожалению, весьма тормозной - вот нередко и пилят какие-то свои поделия в т.ч на более шустром, но не гарантирующем ничего udp
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

42. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Аноним (42), 22-Май-20, 02:20 
Проблема, правда, в алгоритмах congestion control, а не в самом tcp. Надо дефолты менять, а не протокол
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

47. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +3 +/
Сообщение от t28 (?), 22-Май-20, 10:16 
> В сетях с потерями 70% пакетов (и 2/3 из оставшегося приходят в произвольном порядке)
> tcp и сегодня обеспечивает наилучшие показатели.

В сетях с потерей 14% (и более) пакетов TCP не работает от слова "совсем".
При потерях до 3,5% еще кое-как живет, а начиная, приблизительно, с 4% доступ
к современным сервисам начинает напоминать dial-up.

Для доставки инфы в сетях с потерями рекомндую использовать старый проверенный X.25
(но ни в коем случае не поддаваться на разводку под названием XOT).

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

48. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Аноним (22), 22-Май-20, 10:38 
Может, и диалап (задержки действительно были), но вполне работало (и даже очень хорошо), в отличие от альтернативы, которая не позволяла нормально скачивать вообще ничего. А насчёт задержек, сегодня такие сайты, что ответ может идти 5 секунд независимо от качества соединения.
Ответить | Правка | Наверх | Cообщить модератору

50. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от JL2001 (ok), 22-Май-20, 12:36 
> Может, и диалап (задержки действительно были), но вполне работало (и даже очень
> хорошо), в отличие от альтернативы, которая не позволяла нормально скачивать вообще
> ничего.

что именно у вас работало? http over tcp ?
про какие альтернативы речь?

Ответить | Правка | Наверх | Cообщить модератору

51. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Аноним (22), 22-Май-20, 14:00 
Http over tcp (включая модем), socket over tcp (приложуха). Были ещё варианты использовать различные костыли поверх udp и я остался не впечатлён результатами.
Ответить | Правка | Наверх | Cообщить модератору

29. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Michael Shigorinemail (ok), 21-Май-20, 21:04 
> Жаль, что SCTP не прижился - была бы отличная замена.

Что ж Вы в нём весь тот вагон дырок сразу не фиксили?..

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

43. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Нолекс (?), 22-Май-20, 02:49 
Так он певец ртом, а не головой...
Ответить | Правка | Наверх | Cообщить модератору

24. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –1 +/
Сообщение от vsg (?), 21-Май-20, 17:16 
Уже делается и проходит тестирование.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

26. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Fracta1L (ok), 21-Май-20, 18:29 
По какому запросу искать?


Ответить | Правка | Наверх | Cообщить модератору

40. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Аноним (42), 22-Май-20, 02:13 
Что, опять гениев-передельщиков подвезли? Или оттаяли по весне просто?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

54. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Tifereth (ok), 24-Май-20, 06:29 
Так и вижу: "сегодня мы отключаем весь Интернет - подождите лет двадцать, может, что эффективнее напишем".
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

61. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от AntonAlekseevichemail (ok), 25-Май-20, 19:31 
> Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля.

Согласен, DNS и udp/ip должны жить.

А если честно, попробуйте изобрести и затем продемонстрировать новый стек протоколов, так чтобы он был понятен как и***у с первого раза, так и человеку вашего уровня.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

12. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +13 +/
Сообщение от qwe (??), 21-Май-20, 14:53 
Какой жирный. Ща придут неокаменевшие девелоперы и запилят нам правильные протоколы на основе обмена json-ами :)
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

21. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +10 +/
Сообщение от Аноним (21), 21-Май-20, 16:22 
С эталонной реализицией на Node.js
Ответить | Правка | Наверх | Cообщить модератору

3. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +2 +/
Сообщение от crypt (ok), 21-Май-20, 13:35 
> Comodo Secure (8.26.56.26) - 435 раз и Norton ConnectSafe (199.85.126.10) - 569 раз.

не удивлен

Ответить | Правка | Наверх | Cообщить модератору

5. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –3 +/
Сообщение от Fracta1L (ok), 21-Май-20, 13:37 
Очень секурно, очень сейфно
Ответить | Правка | Наверх | Cообщить модератору

8. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от ryoken (ok), 21-Май-20, 14:19 
Выкапывайте\допиливайте уже NetBEUI :D.
Ответить | Правка | Наверх | Cообщить модератору

10. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от КО (?), 21-Май-20, 14:37 
Ежели днс от провайдера, мне, ламеру, секурно?
Ответить | Правка | Наверх | Cообщить модератору

14. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Аноним (-), 21-Май-20, 14:59 
пока провайдера либо твой (ламера) любимый сайтик не задудосили - то да. У тебя же нет своего (ламерского) ресолвера на арендованом у этого провайдера реальном айпи, так ведь? Если есть - от трёх до пяти, насчёт конфискации не уверен.
Ответить | Правка | Наверх | Cообщить модератору

11. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Аноним (11), 21-Май-20, 14:50 
Это не баг, а фича. ИМХО, единственный нормальный способ защиты это DPI, для самых бедных -- fail2ban или что-то в этом духе. Предложенные защиты почему-то нацелены на то, что атакующий сервер является контролируемым и его надо делать защищенным. Однако, имеется достаточно большие ботнеты, где поднять любые сервера не проблема.

Решение на DNSSEC-Validated Cache является самодостаточным и походу всех рано или поздно заставят переходить на DNSSEC-сервера.

Ответить | Правка | Наверх | Cообщить модератору

17. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +3 +/
Сообщение от Онаним (?), 21-Май-20, 15:20 
Про любовь к DNSSEC могу сказать только одно:
https://ianix.com/pub/dnssec-outages.html
Любитесь с ним сами.
Ответить | Правка | Наверх | Cообщить модератору

30. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +2 +/
Сообщение от Michael Shigorinemail (ok), 21-Май-20, 21:10 
> http://ianix.com/pub/dnssec-outages.html

Спасибо, вот этого не слышал:

DNSSEC is not encrypted, which is responsible for many of its failures. Rather than doing per-message/packet encryption like other secure protocols, DNSSEC was made compatable with censorship and surveillance. To enable censorship and surveillance, an extremely complex and thus fragile protocol was required, thereby resulting in outages, semi-outages, and sometimes just plain bizarre situations.

Ответить | Правка | Наверх | Cообщить модератору

33. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Онаним (?), 21-Май-20, 21:55 
Да не за что.
Как сталкивающийся в силу характера деятельности - подтверждаю, DNSSEC - это просто подпись.
Ответить | Правка | Наверх | Cообщить модератору

58. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от suffix (ok), 25-Май-20, 14:28 
Да, но полезная - таже валидация tlsa dane, sshfp
Ответить | Правка | Наверх | Cообщить модератору

59. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Онаним (?), 25-Май-20, 18:46 
> Да, но полезная - таже валидация tlsa dane, sshfp

Первое не работает почти нигде, от слова "совсем", а учитывая, что тот же виндорезолвер валидации DNSSEC не имеет, в винде не заработает ещё дольше. Второе, ну, вы поняли. Слишком узко-специфичное, можно бы было и другими способами реализовать.

Ответить | Правка | Наверх | Cообщить модератору

60. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от suffix (ok), 25-Май-20, 18:49 

> Первое не работает почти нигде, от слова "совсем".

В exim работает а это уже хорошо !

Ответить | Правка | Наверх | Cообщить модератору

38. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –1 +/
Сообщение от Ivan_83 (ok), 22-Май-20, 00:08 
Всё гораздо проще - рейтлимиты, и по меньше выставлять резолверы наружу.

В современном мире вообще не понятно зачем они сдались пользователям: встроить рекурсивный резолвер можно во что угодно, ресурсов он не жрёт.
Поскольку 99% это хомяки то у них будет просто всё работать.
Корпораты могут просто днс запросы на шлюзе заворачивать в свой днс сервер, который знает локальные зоны и умеет рекурсию в инет и кеш.

Никакие DNSSEC, DoT, DoH - не нужны.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

49. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от JL2001 (ok), 22-Май-20, 12:32 
> Корпораты могут просто днс запросы на шлюзе заворачивать в свой днс сервер,
> который знает локальные зоны и умеет рекурсию в инет и кеш.
> Никакие DNSSEC, DoT, DoH - не нужны.

всё с вами понятно, любитель переадресовать на свой айпишник

Ответить | Правка | Наверх | Cообщить модератору

15. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Анонимemail (15), 21-Май-20, 15:16 
Хех, а ведь бывают домашние роутеры, светящие во внешний мир 53м портом (таких много среди асусов, например).
Ответить | Правка | Наверх | Cообщить модератору

27. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Alen (??), 21-Май-20, 19:20 
Они кэширующие и к теме не относятся
Ответить | Правка | Наверх | Cообщить модератору

16. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –2 +/
Сообщение от YetAnotherOnanym (ok), 21-Май-20, 15:18 
> атакующий может выдать в ответе огромный список не повторяющихся NS-серверов с несуществующими фиктивными именами поддоменов жертвы (fake-1.victim.com, fake-2.victim.com,... fake-1000.victim.com). Резолвер попытается отправить запрос DNS-серверу жертвы, но получит ответ, что домен не найден, после чего попытается определить следующий NS-сервер в списке и так до тех пор пока не переберёт все перечисленные атакующим NS-записи

Гениально, чо...

Ответить | Правка | Наверх | Cообщить модератору

23. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от псевдонимус (?), 21-Май-20, 16:59 
Хорошая уязвимость. Полезная.
Ответить | Правка | Наверх | Cообщить модератору

25. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –1 +/
Сообщение от nathooemail (?), 21-Май-20, 17:51 
Дело за малым: зарегистрировать валидный DNS на краденый паспорт...
Ответить | Правка | Наверх | Cообщить модератору

28. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –1 +/
Сообщение от Ward (?), 21-Май-20, 20:53 
И как вовремя-то. DoH-сервера-то не подвержены.
Ответить | Правка | Наверх | Cообщить модератору

34. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +2 +/
Сообщение от Аноним (34), 21-Май-20, 22:00 
С хрена ли не подвержены если все эти DoH DoT это только прокси к обычному ресолверу?.. не все ли равзно как на тот ресолвер прилетит запрос на ресолв DNS имени атакуещего.
Ответить | Правка | Наверх | Cообщить модератору

37. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Онаним (?), 21-Май-20, 22:57 
> И как вовремя-то. DoH-сервера-то не подвержены.

С ДоХ другая проблема, их надо ДоХ чтобы справиться с нагрузкой, либо акселераторы, потому что очень уж монструозно.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

39. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  –1 +/
Сообщение от Ivan_83 (ok), 22-Май-20, 00:09 
Они и не нужны вовсе.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

41. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от Аноним (42), 22-Май-20, 02:17 
Это ты сам придумал. DoH это транспорт до клиента, к самому резолверу он никак относится
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

35. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +4 +/
Сообщение от Аноним (35), 21-Май-20, 22:38 
Bind по производительности всех уделал
Ответить | Правка | Наверх | Cообщить модератору

44. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Нолекс (?), 22-Май-20, 02:55 
двачую...
Ответить | Правка | Наверх | Cообщить модератору

45. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от sn (??), 22-Май-20, 02:56 
А если иметь запись, например
*.victim.com. A ns.victim.com.

Как думаете поможет?

Ответить | Правка | Наверх | Cообщить модератору

46. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от sn (??), 22-Май-20, 02:58 
вернее CNAME
Ответить | Правка | Наверх | Cообщить модератору

55. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от antonimous (?), 24-Май-20, 20:49 
Легаси, ёп. Чемодан без ручки.
Причем, везде.
arpanet, BIOS, x86 и прочее говно мамонта ибо "бизнес" и "обратная совместимость". XXI век. Деградация технологий ака екстенсивное "развитие".
Ответить | Правка | Наверх | Cообщить модератору

56. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +1 +/
Сообщение от Michael Shigorinemail (ok), 24-Май-20, 20:54 
> Легаси, ёп. Чемодан без ручки.

Вы бы знали, каким "легаси" являетесь сами...

PS: кто-то подметил, что ссылки на век, год и подобные ахи-охи характерны для секты свидетелей линейного прогресса -- модное западное течение последних нескольких десятилетий и веков (в разную силу), сводящее всё развитие мира к убогому вектору, да ещё и путающее его направленность по знаку (хотя некоторые и там замечают, в итоге появляются словосочетания вроде "highway to hell").

PPS: штаты, кстати, "здесь и сейчас" (tm) подкидывают таким вот лопоухим новые задачки -- например, как одновременно верить в "рынок" и... легитимность мер по принудительному ограничению международной конкуренции.  Ну там, make competition run slower, а то и прям бряк -- impede progress.

Ответить | Правка | Наверх | Cообщить модератору

57. "Атака NXNSAttack, затрагивающая все DNS-резолверы"  +/
Сообщение от все такойже ононим как и всегда (?), 25-Май-20, 14:17 
самое весёлое, что в основном легаси то и работает, а смузи решения не очень.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру