Группа исследователей из Тель-Авивского университета и Междисциплинарного центра в Герцлии (Израиль) разработала новый метод атаки NXNSAttack (PDF), позволяющий использовать любые DNS-резолверы в качестве усилителей трафика, обеспечивающих степень усиления до 1621 раз по числу пакетов (на каждый отправленный к резолверу запрос, можно добиться отправки на сервер жертвы 1621 запрос) и до 163 раз по трафику...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52995

• Атака NXNSAttack, затрагивающая все DNS-резолверы,ryoken, 12:53 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,InuYasha, 13:06 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Жека Воробьев, 13:37 , 21-Май-20
    • Атака NXNSAttack, затрагивающая все DNS-резолверы,Fracta1L, 13:38 , 21-Май-20
      • Атака NXNSAttack, затрагивающая все DNS-резолверы,qwe, 14:56 , 21-Май-20
        • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 16:20 , 21-Май-20
          • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 16:55 , 21-Май-20
            • Атака NXNSAttack, затрагивающая все DNS-резолверы,topin89, 21:55 , 21-Май-20
              • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 22:49 , 21-Май-20
                • Атака NXNSAttack, затрагивающая все DNS-резолверы,topin89, 17:14 , 22-Май-20
                • Атака NXNSAttack, затрагивающая все DNS-резолверы,Lex, 07:34 , 23-Май-20
            • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 02:20 , 22-Май-20
            • Атака NXNSAttack, затрагивающая все DNS-резолверы,t28, 10:16 , 22-Май-20
              • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 10:38 , 22-Май-20
                • Атака NXNSAttack, затрагивающая все DNS-резолверы,JL2001, 12:36 , 22-Май-20
                  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 14:00 , 22-Май-20
          • Атака NXNSAttack, затрагивающая все DNS-резолверы,Michael Shigorin, 21:04 , 21-Май-20
            • Атака NXNSAttack, затрагивающая все DNS-резолверы,Нолекс, 02:49 , 22-Май-20
      • Атака NXNSAttack, затрагивающая все DNS-резолверы,vsg, 17:16 , 21-Май-20
        • Атака NXNSAttack, затрагивающая все DNS-резолверы,Fracta1L, 18:29 , 21-Май-20
      • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 02:13 , 22-Май-20
      • Атака NXNSAttack, затрагивающая все DNS-резолверы,Tifereth, 06:29 , 24-Май-20
      • Атака NXNSAttack, затрагивающая все DNS-резолверы,AntonAlekseevich, 19:31 , 25-Май-20
    • Атака NXNSAttack, затрагивающая все DNS-резолверы,qwe, 14:53 , 21-Май-20
      • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 16:22 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,crypt, 13:35 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Fracta1L, 13:37 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,ryoken, 14:19 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,КО, 14:37 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 14:59 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 14:50 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Онаним, 15:20 , 21-Май-20
    • Атака NXNSAttack, затрагивающая все DNS-резолверы,Michael Shigorin, 21:10 , 21-Май-20
      • Атака NXNSAttack, затрагивающая все DNS-резолверы,Онаним, 21:55 , 21-Май-20
        • Атака NXNSAttack, затрагивающая все DNS-резолверы,suffix, 14:28 , 25-Май-20
          • Атака NXNSAttack, затрагивающая все DNS-резолверы,Онаним, 18:46 , 25-Май-20
            • Атака NXNSAttack, затрагивающая все DNS-резолверы,suffix, 18:49 , 25-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Ivan_83, 00:08 , 22-Май-20
    • Атака NXNSAttack, затрагивающая все DNS-резолверы,JL2001, 12:32 , 22-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 15:16 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Alen, 19:20 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,YetAnotherOnanym, 15:18 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,псевдонимус, 16:59 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,nathoo, 17:51 , 21-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,Ward, 20:53 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 22:00 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Онаним, 22:57 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Ivan_83, 00:09 , 22-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 02:17 , 22-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,Аноним, 22:38 , 21-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Нолекс, 02:55 , 22-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,sn, 02:56 , 22-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,sn, 02:58 , 22-Май-20
• Атака NXNSAttack, затрагивающая все DNS-резолверы,antonimous, 20:49 , 24-Май-20
  • Атака NXNSAttack, затрагивающая все DNS-резолверы,Michael Shigorin, 20:54 , 24-Май-20
    • Атака NXNSAttack, затрагивающая все DNS-резолверы,все такойже ононим как и всегда, 14:17 , 25-Май-20

Хм.. это чтобы по всему глобусу котиков не посмотреть было? :D

Во что вырос DNS! А так всё просто начиналось... )

да в it вагон и маленькая тележка окаменелых технологий: dns, smtp, http, ipv4/6

Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля. Про разжиревший веб даже говорить нечего.

> Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля.

ты вероятно имел ввиду всё что выше tcp-ip. Это правда, всё что поверх http работает надо выкинуть)

TCP тоже устарел. Как только не пытаются его раскочегарить, да всё бестолку. Жаль, что SCTP не прижился - была бы отличная замена. А так - теперь все протоколы будут постепенно переползать на UDP (если не уже), и каждый будет изобретать колесо заново.

В сетях с потерями 70% пакетов (и 2/3 из оставшегося приходят в произвольном порядке) tcp и сегодня обеспечивает наилучшие показатели. Это спутниковый/мобильный интернет, adsl. Естественно, в оптоволоконных сетях что-нибудь поверх udp может быть лучше, с идеальным соединением куча всего сразу не таким критичным становится.

А разве этот новый протокол не был сделан из-за постоянных проблем с tcp в сотовых сетях?
Честное любопытство, я нихера в сетях не разбираюсь.

Который из? А то они всё решают проблемы, решают, да решить не могут. Какие проблемы у вэба из-за tcp? Практически я вижу, что все эти новые протоколы поверх tcp жёстко проседают на нестабильных сетях.

> Который из?

QUIC

Да кто ж спорит, что у tcp т.н «стабильность» выше.
Другое дело, когда речь об активном обмене данными между клиентом и сервером и потребностях в минимальном лаге.
TCP, к сожалению, весьма тормозной - вот нередко и пилят какие-то свои поделия в т.ч на более шустром, но не гарантирующем ничего udp

Проблема, правда, в алгоритмах congestion control, а не в самом tcp. Надо дефолты менять, а не протокол

> В сетях с потерями 70% пакетов (и 2/3 из оставшегося приходят в произвольном порядке)
> tcp и сегодня обеспечивает наилучшие показатели.

В сетях с потерей 14% (и более) пакетов TCP не работает от слова "совсем".
При потерях до 3,5% еще кое-как живет, а начиная, приблизительно, с 4% доступ
к современным сервисам начинает напоминать dial-up.

Для доставки инфы в сетях с потерями рекомндую использовать старый проверенный X.25
(но ни в коем случае не поддаваться на разводку под названием XOT).

Может, и диалап (задержки действительно были), но вполне работало (и даже очень хорошо), в отличие от альтернативы, которая не позволяла нормально скачивать вообще ничего. А насчёт задержек, сегодня такие сайты, что ответ может идти 5 секунд независимо от качества соединения.

> Может, и диалап (задержки действительно были), но вполне работало (и даже очень
> хорошо), в отличие от альтернативы, которая не позволяла нормально скачивать вообще
> ничего.

что именно у вас работало? http over tcp ?
про какие альтернативы речь?

Http over tcp (включая модем), socket over tcp (приложуха). Были ещё варианты использовать различные костыли поверх udp и я остался не впечатлён результатами.

> Жаль, что SCTP не прижился - была бы отличная замена.

Что ж Вы в нём весь тот вагон дырок сразу не фиксили?..

Так он певец ртом, а не головой...

Уже делается и проходит тестирование.

По какому запросу искать?

Что, опять гениев-передельщиков подвезли? Или оттаяли по весне просто?

Так и вижу: "сегодня мы отключаем весь Интернет - подождите лет двадцать, может, что эффективнее напишем".

> Весь интернет-стек, начиная с tcp/ip, пора выбрасывать на свалку и пилить что-то с нуля.

Согласен, DNS и udp/ip должны жить.

А если честно, попробуйте изобрести и затем продемонстрировать новый стек протоколов, так чтобы он был понятен как и***у с первого раза, так и человеку вашего уровня.

Какой жирный. Ща придут неокаменевшие девелоперы и запилят нам правильные протоколы на основе обмена json-ами :)

С эталонной реализицией на Node.js

> Comodo Secure (8.26.56.26) - 435 раз и Norton ConnectSafe (199.85.126.10) - 569 раз.

не удивлен

Очень секурно, очень сейфно

Выкапывайте\допиливайте уже NetBEUI :D.

Ежели днс от провайдера, мне, ламеру, секурно?

пока провайдера либо твой (ламера) любимый сайтик не задудосили - то да. У тебя же нет своего (ламерского) ресолвера на арендованом у этого провайдера реальном айпи, так ведь? Если есть - от трёх до пяти, насчёт конфискации не уверен.

Это не баг, а фича. ИМХО, единственный нормальный способ защиты это DPI, для самых бедных -- fail2ban или что-то в этом духе. Предложенные защиты почему-то нацелены на то, что атакующий сервер является контролируемым и его надо делать защищенным. Однако, имеется достаточно большие ботнеты, где поднять любые сервера не проблема.

Решение на DNSSEC-Validated Cache является самодостаточным и походу всех рано или поздно заставят переходить на DNSSEC-сервера.

Про любовь к DNSSEC могу сказать только одно:
https://ianix.com/pub/dnssec-outages.html
Любитесь с ним сами.

> http://ianix.com/pub/dnssec-outages.html

Спасибо, вот этого не слышал:

DNSSEC is not encrypted, which is responsible for many of its failures. Rather than doing per-message/packet encryption like other secure protocols, DNSSEC was made compatable with censorship and surveillance. To enable censorship and surveillance, an extremely complex and thus fragile protocol was required, thereby resulting in outages, semi-outages, and sometimes just plain bizarre situations.

Да не за что.
Как сталкивающийся в силу характера деятельности - подтверждаю, DNSSEC - это просто подпись.

Да, но полезная - таже валидация tlsa dane, sshfp

> Да, но полезная - таже валидация tlsa dane, sshfp

Первое не работает почти нигде, от слова "совсем", а учитывая, что тот же виндорезолвер валидации DNSSEC не имеет, в винде не заработает ещё дольше. Второе, ну, вы поняли. Слишком узко-специфичное, можно бы было и другими способами реализовать.

> Первое не работает почти нигде, от слова "совсем".

В exim работает а это уже хорошо !

Всё гораздо проще - рейтлимиты, и по меньше выставлять резолверы наружу.

В современном мире вообще не понятно зачем они сдались пользователям: встроить рекурсивный резолвер можно во что угодно, ресурсов он не жрёт.
Поскольку 99% это хомяки то у них будет просто всё работать.
Корпораты могут просто днс запросы на шлюзе заворачивать в свой днс сервер, который знает локальные зоны и умеет рекурсию в инет и кеш.

Никакие DNSSEC, DoT, DoH - не нужны.

> Корпораты могут просто днс запросы на шлюзе заворачивать в свой днс сервер,
> который знает локальные зоны и умеет рекурсию в инет и кеш.
> Никакие DNSSEC, DoT, DoH - не нужны.

всё с вами понятно, любитель переадресовать на свой айпишник

Хех, а ведь бывают домашние роутеры, светящие во внешний мир 53м портом (таких много среди асусов, например).

Они кэширующие и к теме не относятся

> атакующий может выдать в ответе огромный список не повторяющихся NS-серверов с несуществующими фиктивными именами поддоменов жертвы (fake-1.victim.com, fake-2.victim.com,... fake-1000.victim.com). Резолвер попытается отправить запрос DNS-серверу жертвы, но получит ответ, что домен не найден, после чего попытается определить следующий NS-сервер в списке и так до тех пор пока не переберёт все перечисленные атакующим NS-записи

Гениально, чо...

Хорошая уязвимость. Полезная.

Дело за малым: зарегистрировать валидный DNS на краденый паспорт...

И как вовремя-то. DoH-сервера-то не подвержены.

С хрена ли не подвержены если все эти DoH DoT это только прокси к обычному ресолверу?.. не все ли равзно как на тот ресолвер прилетит запрос на ресолв DNS имени атакуещего.

> И как вовремя-то. DoH-сервера-то не подвержены.

С ДоХ другая проблема, их надо ДоХ чтобы справиться с нагрузкой, либо акселераторы, потому что очень уж монструозно.

Они и не нужны вовсе.

Это ты сам придумал. DoH это транспорт до клиента, к самому резолверу он никак относится

Bind по производительности всех уделал

двачую...

А если иметь запись, например
*.victim.com. A ns.victim.com.

Как думаете поможет?

вернее CNAME

Легаси, ёп. Чемодан без ручки.
Причем, везде.
arpanet, BIOS, x86 и прочее говно мамонта ибо "бизнес" и "обратная совместимость". XXI век. Деградация технологий ака екстенсивное "развитие".

> Легаси, ёп. Чемодан без ручки.

Вы бы знали, каким "легаси" являетесь сами...

PS: кто-то подметил, что ссылки на век, год и подобные ахи-охи характерны для секты свидетелей линейного прогресса -- модное западное течение последних нескольких десятилетий и веков (в разную силу), сводящее всё развитие мира к убогому вектору, да ещё и путающее его направленность по знаку (хотя некоторые и там замечают, в итоге появляются словосочетания вроде "highway to hell").

PPS: штаты, кстати, "здесь и сейчас" (tm) подкидывают таким вот лопоухим новые задачки -- например, как одновременно верить в "рынок" и... легитимность мер по принудительному ограничению международной конкуренции.  Ну там, make competition run slower, а то и прям бряк -- impede progress.

самое весёлое, что в основном легаси то и работает, а смузи решения не очень.