|
|
 | DNS flooding
Fra : Morton Christiansen |
Dato : 12-11-02 00:08 |
|
Nogen der ligger inde med information om DNS flooding - i særdeleshed
hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
filtere [...]).
E.g. hvad ville I gøre hvis I blev angrebet af en DNS flod?
Har kigget en del på google, men synes ikke rigtig jeg kunne finde noget af
værdi om det specifikke emne.
TIA
-- Morton
| |
 Morton Christiansen (12-11-2002)
| Kommentar
Fra : Morton Christiansen |
Dato : 12-11-02 00:12 |
|
Argh. Glemte lige at specificere at det er DNS flooding i DDoS sammenhæng
jeg er interesseret i!
Sorry.
-- Morton
| |
Rasmus Bøg Hansen (12-11-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 12-11-02 00:20 |
|
"Morton Christiansen" <morton@it.edu> writes:
> Nogen der ligger inde med information om DNS flooding - i særdeleshed
> hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
> filtere [...]).
>
> E.g. hvad ville I gøre hvis I blev angrebet af en DNS flod?
>
> Har kigget en del på google, men synes ikke rigtig jeg kunne finde noget af
> værdi om det specifikke emne.
Sandsynligvis fordi det nok er ret svært at bekæmpe. Man kan næppe
klare det med firewall-regler, hvis der er tale om DDoS (medmindre der
er så få maskiner, at man kan lave firewallregler for alle angribende
maskiner).
Det er nok svært at gøre andet ved det end at sørge for fornuftig
DNS-opsætning og så finde frem til kilden og få det stoppet.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Avoid the Gates of Hell. Use Linux.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Kasper Dupont (12-11-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 12-11-02 06:51 |
|
Morton Christiansen wrote:
>
> Nogen der ligger inde med information om DNS flooding - i særdeleshed
> hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
> filtere [...]).
>
> E.g. hvad ville I gøre hvis I blev angrebet af en DNS flod?
Er DNS ikke blot en simpel request respond protokol? Jeg tror den
er svær at gøre ret meget ved. Du kan ikke forhindre pakkerne i
at nå frem til din server, det eneste du kan gøre, hvis ikke du
har kapacitet til at besvare alle, er at prioritere dem og primært
besvare de vigtigste. Du skal naturligvis sørge for, at det kun er
din netværkskapacitet, der bliver brugt op. Hvis maskinen er sat
fornuftigt op vil den være til at komme i kontakt med igen få
sekunder efter pakkerne stopper.
Kan man overhovedet se på DNS forespørgsler, om source IP er ægte?
Jeg vil umiddelbart tro, at det er nemt at spoofe source IP på DNS
forespørgsler. Du kan evt. holde øje med ICMP fejlmeldinger på
dine svar og dermed få en idé om, hvilke forespørgsler, der havde
spoofet source. Hvad man så kan bruge det til ved jeg ikke.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf
| |
Max Andersen (12-11-2002)
| Kommentar
Fra : Max Andersen |
Dato : 12-11-02 08:17 |
|
"Morton Christiansen" <morton@it.edu> wrote in message
news:zLWz9.1728$HU.118185@news010.worldonline.dk...
> Nogen der ligger inde med information om DNS flooding - i særdeleshed
> hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
> filtere [...]).
>
Du har store muligheder for at bremse for mistænkelig trafik, hvis du bruger
en 'stateful' firewall. D.v.s. at den er dynamisk og ser på pakkerne og
deres afsendermønster.
Hvis der bliver brugt 1000 maskiner til et angre kan du ikke gøre noget
umiddelbart, men hvis det er 10 forskellige hosts, så skal de hver især
sende så mange pakker, at din firewall opdager dem.
Max
| |
Rasmus Bøg Hansen (12-11-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 12-11-02 09:57 |
|
"Max Andersen" <max@militant.dk> writes:
> "Morton Christiansen" <morton@it.edu> wrote in message
> news:zLWz9.1728$HU.118185@news010.worldonline.dk...
> > Nogen der ligger inde med information om DNS flooding - i særdeleshed
> > hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
> > filtere [...]).
> >
>
> Du har store muligheder for at bremse for mistænkelig trafik, hvis du bruger
> en 'stateful' firewall. D.v.s. at den er dynamisk og ser på pakkerne og
> deres afsendermønster.
>
> Hvis der bliver brugt 1000 maskiner til et angre kan du ikke gøre noget
> umiddelbart, men hvis det er 10 forskellige hosts, så skal de hver især
> sende så mange pakker, at din firewall opdager dem.
Det hjælper bare ikke, hvis flaskehalsen er ens internetbåndbredde. Så
skal pakkerne stoppes hos din udbyder eller tidligere.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Beware of bugs in the above code;
I have only proved it correct, not tried it.
- Donald Knuth
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Povl H. Pedersen (13-11-2002)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 13-11-02 00:23 |
|
In article <zLWz9.1728$HU.118185@news010.worldonline.dk>, Morton Christiansen wrote:
> Nogen der ligger inde med information om DNS flooding - i særdeleshed
> hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
> filtere [...]).
>
> E.g. hvad ville I gøre hvis I blev angrebet af en DNS flod?
>
> Har kigget en del på google, men synes ikke rigtig jeg kunne finde noget af
> værdi om det specifikke emne.
Du kan stoppe det ved at forbyde mere end x requests fra hver
IP aresse per sekund. Det skal gøres i en firewall.
--
---
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.
| |
Kasper Dupont (13-11-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 13-11-02 07:02 |
|
"Povl H. Pedersen" wrote:
>
> In article <zLWz9.1728$HU.118185@news010.worldonline.dk>, Morton Christiansen wrote:
> > Nogen der ligger inde med information om DNS flooding - i særdeleshed
> > hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
> > filtere [...]).
> >
> > E.g. hvad ville I gøre hvis I blev angrebet af en DNS flod?
> >
> > Har kigget en del på google, men synes ikke rigtig jeg kunne finde noget af
> > værdi om det specifikke emne.
>
> Du kan stoppe det ved at forbyde mere end x requests fra hver
> IP aresse per sekund. Det skal gøres i en firewall.
Hvad vil det hjælpe, hvis man bliver flooded med requests med
spoofet source IP? Og risikerer man ikke at denne begrænsning
lukker for legitime forespørgsler?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf
| |
 Povl H. Pedersen (13-11-2002)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 13-11-02 07:59 |
|
In article <3DD1EADB.FA1EB9DF@daimi.au.dk>, Kasper Dupont wrote:
> "Povl H. Pedersen" wrote:
>>
>> In article <zLWz9.1728$HU.118185@news010.worldonline.dk>, Morton Christiansen wrote:
>> > Nogen der ligger inde med information om DNS flooding - i særdeleshed
>> > hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
>> > filtere [...]).
>> >
>> > E.g. hvad ville I gøre hvis I blev angrebet af en DNS flod?
>> >
>> > Har kigget en del på google, men synes ikke rigtig jeg kunne finde noget af
>> > værdi om det specifikke emne.
>>
>> Du kan stoppe det ved at forbyde mere end x requests fra hver
>> IP aresse per sekund. Det skal gøres i en firewall.
>
> Hvad vil det hjælpe, hvis man bliver flooded med requests med
> spoofet source IP? Og risikerer man ikke at denne begrænsning
> lukker for legitime forespørgsler?
Spoofet source = ICMP fejl retur. Så kan man sætte IP'en
i karantæne.
Og ja, du risikerer et throttle-filter lukker for valide
forespørgsler fra meget aktive hosts. Så bør de lave færre
opslag og/eller cache.
--
---
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.
| |
Kasper Dupont (13-11-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 13-11-02 12:43 |
|
"Povl H. Pedersen" wrote:
>
> In article <3DD1EADB.FA1EB9DF@daimi.au.dk>, Kasper Dupont wrote:
> > "Povl H. Pedersen" wrote:
> >>
> >> In article <zLWz9.1728$HU.118185@news010.worldonline.dk>, Morton Christiansen wrote:
> >> > Nogen der ligger inde med information om DNS flooding - i særdeleshed
> >> > hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
> >> > filtere [...]).
> >> >
> >> > E.g. hvad ville I gøre hvis I blev angrebet af en DNS flod?
> >> >
> >> > Har kigget en del på google, men synes ikke rigtig jeg kunne finde noget af
> >> > værdi om det specifikke emne.
> >>
> >> Du kan stoppe det ved at forbyde mere end x requests fra hver
> >> IP aresse per sekund. Det skal gøres i en firewall.
> >
> > Hvad vil det hjælpe, hvis man bliver flooded med requests med
> > spoofet source IP? Og risikerer man ikke at denne begrænsning
> > lukker for legitime forespørgsler?
>
> Spoofet source = ICMP fejl retur. Så kan man sætte IP'en
> i karantæne.
Ja, det kan man da godt gøre. Men hvad gavn gør det? Hvis der sendes
pakker med spoofet source, så kan der naturligvis sendes mange
pakker med forskellig spoofet source. Du vil altså sætte mange
urelaterede IP addresser i karantæne, og du får intet ud af det, for
flooding fortsætter med nye IP addresser. Du risikerer til gengæld
at sætte en legitim IP addresse i karantæne.
Hvis man kan gætte addressen på nogle af de legitime klienter, kan
man bruge karantænen imod dig. Bare send en pakke med spoofet source
fra hver af dine klienter. Du har ikke løst DDoS problemet, men du
har tilgengæld gjort det meget nemmere at udføre et DoS mod din
server.
>
> To get blacklisted please mail to listme@listme.dsbl.org
> Writing to the above address will blacklist your mailserver.
> Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.
Fantastisk, nu skal mailserveren kun misbruges af en person for at
alle brugerne kan få problemer. Det er da dejligt.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf
| |
Kent Friis (13-11-2002)
| Kommentar
Fra : Kent Friis |
Dato : 13-11-02 18:25 |
|
Den Wed, 13 Nov 2002 06:59:06 +0000 (UTC) skrev Povl H. Pedersen:
>In article <3DD1EADB.FA1EB9DF@daimi.au.dk>, Kasper Dupont wrote:
>> "Povl H. Pedersen" wrote:
>>>
>>> In article <zLWz9.1728$HU.118185@news010.worldonline.dk>, Morton Christiansen wrote:
>>> > Nogen der ligger inde med information om DNS flooding - i særdeleshed
>>> > hvordan (om?) man kan bekæmpe det (via DNS opsætning, firewall arkitektur,
>>> > filtere [...]).
>>> >
>>> > E.g. hvad ville I gøre hvis I blev angrebet af en DNS flod?
>>> >
>>> > Har kigget en del på google, men synes ikke rigtig jeg kunne finde noget af
>>> > værdi om det specifikke emne.
>>>
>>> Du kan stoppe det ved at forbyde mere end x requests fra hver
>>> IP aresse per sekund. Det skal gøres i en firewall.
>>
>> Hvad vil det hjælpe, hvis man bliver flooded med requests med
>> spoofet source IP? Og risikerer man ikke at denne begrænsning
>> lukker for legitime forespørgsler?
>
>Spoofet source = ICMP fejl retur. Så kan man sætte IP'en
>i karantæne.
Ok, hvis du sætter dk-hostmaster op til det, så spoofer jeg lige en
masse requests fra samtlige TDC og WOL's navneservere...
Mvh
Kent
--
Object orientation: the idea, that humans find it easier to understand
"you.car.engine.start" than "start your car engine".
| |
|
|