Estimados DNS-entusiastas,
Este mensaje lo mandó Nico en la lista LACNOG y creo que está bien interesante para los que operan servidores recursivos por acá...
Ojo que BIND, Unbound, Knot-Resolver y PowerDNS tienen parches disponibles, pero que pueden requerir configuración extra.
Mi consejo: Aparte de mantener sistemas al día, creo que este es un gran momento para auto-recordarnos de mantener y mejorar la visibilidad de qué pasa en cada servidor y tener métricas que permitan detectar anomalías como éstas.
Saludos!
---------- Forwarded message --------- From: Nicolas Antoniello nantoniello@gmail.com Date: Tue, May 19, 2020 at 12:10 PM Subject: [lacnog] NXNSAttack: Recursive DNS Inefficiencies and Vulnerabilities To: Latin America and Caribbean Region Network Operators Group < lacnog@lacnog.org>
Un paper muy interesante sobre un tipo de ataque de DoS, o pseudo-ataque ya que por lo que pude leer hace uso de una funcionalidad de DNS y no de un bug, a servidores recursivos de DNS:
http://www.nxnsattack.com/dns-ns-paper.pdf
Creo que es interesante de leer y analizar si realmente impacta o no.
Saludos, Nico
LACNOG mailing list LACNOG@lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
Hola Mauricio, gracias por la información.
Eché de menos alguna mención a RRL y al "aggressive" NXDOMAIN con DNSSEC. El RRL protege a los autoritativos en caso de que un resolver esté saturándolo con consultas, y el segundo protege también al resolver, permitiéndole descartar de inmediato nombres falsos dentro de un dominio (en caso de estar firmado). Hubiera sido bueno un análisis de impacto con esas dos técnicas activas.
De todas formas, nunca está de más agregar limitantes en los resolvers. Se entiende que se quiera resolver todos los NS para encontrar el más rápido, pero lamentablemente habrá que irse con cuidado y quizás dejarlo en procesos paralelos de "tiempo ocioso". El Max1Fetch me parece extraño que tenga la misma latencia que Bind clásico, uno esperaría que el NS más rápido esté en cualquier lugar de la lista de NS! Quizás tenga que ver con elegir Alexa 1M y el trace de su universidad, que tienen NS bastante "uniformes"... pero yo esperaría que con NS más diversos (topológicamente hablando), sí que exista una diferencia notable.
Hugo
On 12:40 19/05, Mauricio Vergara Ereche via dns-esp wrote:
Estimados DNS-entusiastas,
Este mensaje lo mandó Nico en la lista LACNOG y creo que está bien interesante para los que operan servidores recursivos por acá...
Ojo que BIND, Unbound, Knot-Resolver y PowerDNS tienen parches disponibles, pero que pueden requerir configuración extra.
Mi consejo: Aparte de mantener sistemas al día, creo que este es un gran momento para auto-recordarnos de mantener y mejorar la visibilidad de qué pasa en cada servidor y tener métricas que permitan detectar anomalías como éstas.
Saludos!
---------- Forwarded message --------- From: Nicolas Antoniello nantoniello@gmail.com Date: Tue, May 19, 2020 at 12:10 PM Subject: [lacnog] NXNSAttack: Recursive DNS Inefficiencies and Vulnerabilities To: Latin America and Caribbean Region Network Operators Group < lacnog@lacnog.org>
Un paper muy interesante sobre un tipo de ataque de DoS, o pseudo-ataque ya que por lo que pude leer hace uso de una funcionalidad de DNS y no de un bug, a servidores recursivos de DNS:
http://www.nxnsattack.com/dns-ns-paper.pdf
Creo que es interesante de leer y analizar si realmente impacta o no.
Saludos, Nico
LACNOG mailing list LACNOG@lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
-- Mauricio Vergara Ereche about.me/mave
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
-
Hugo Salgado -
Mauricio Vergara Ereche