On Mon, Apr 08, 2013 at 09:03:48AM +0100, Florent Daigniere <[email protected]> wrote a message of 100 lines which said:
> Fermer les resolveurs ouverts ne résout pas le problème des DDoS > amplifiés par DNS. En sécurité (ou en santé publique, domaine qui a beaucoup de points communs avec la sécurité de l'Internet) aucune mesure ne « résoud » les problèmes. On les minimise, c'est tout. > Le jour où il n'y aura plus de serveur récursifs sur Internet (et ce > n'est pas demain la veille), On peut dire cela (« ça va prendre des siècles ») de toutes les campagnes d'hygiène informatique (exemple de BCP 38 cité plus bas). C'est plutôt pour moi une raison pour commencer tout de suite. > les attaques se feront sur les serveurs autoritaires. Je prends ma casquette de nazi grammairien deux secondes : un adjudant est autoritaire. Un serveur DNS fait autorité. Ensuite, je repasse à la technique : il y a déjà eu des attaques sur les serveurs faisant autorité. Comme toujours en sécurité (ou en santé publique), la question n'est pas trouver LA bonne technique. Il n'existe pas de balle en argent (comme disent les compatriotes de Stephenie Meyer). Il faut fermer les résolveurs ouverts *et* il faut sécuriser les serveurs faisant autorité. Ceci dit, si les serveurs faisant autorité présentent quelques avantages pour les attaquants (grosses machines bien connectées), ils ont aussi des inconvénients (contrairement aux résolveurs ouverts, ce sont en général des machines gérées, donc surveillées et avec déploiement de contre-mesures - comme la limitation de trafic). > Il est plus facile de construire une liste de serveurs autoritaires > que d'open-resolvers! Comme le montre le travail cité au début de ce fil, construire une liste de serveurs résolveurs ouverts est possible (et pas spécialement difficile, sans vouloir dire du mal de l'excellent travail de Jared Mauch). > La bonne solution c'est BCP-38 (rfc3704). Mais c'est quoi cettte obsession de LA bonne et vraie solution ? Dans le monde réel, cela n'existe jamais. Si les geeks voulaient bien sortir de l'informatique et étudier les domaines qui ont ce genre de problème depuis des siècles (lutte contre la délinquance, santé publique), ils sauraient qu'il n'y a pas de solution magique, qu'il faut attaquer sur plusieurs fronts à la fois. Se demander s'il faut déployer BCP 38 OU BIEN fermer les résolveurs ouverts, c'est aussi à côté des pompes que de se demander s'il vaut se laver les mains OU BIEN développer des antibiotiques. IL FAUT LES DEUX. > - cache poisoning > - cache snooping Ces deux problèmes ne gènent que les utilisateurs du résolveur ouvert. Les attaques par amplification gênent tout l'Internet. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
