Re: [FRnOG] [TECH] À propos des attaques DNS
Les attaques HTTP visent en général une application ou bien un serveur HTTP custom (essayez de vous souvenir de la dernière attaque réussie contre Apache). Le dernier dont je me souviens n'est pas si éloigné que ça : http://thread.gmane.org/gmane.comp.apache.announce/58 En demandant à Apache des intervalles de données se chevauchant, celui-ci se mettait à consommer toute la mémoire disponible afin de pouvoir répondre à la requête. Donc si les tests aident à rendre un logiciel plus robuste, il restera toujours des bugs biens cachés quelque part. -- Jimmy --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] À propos des attaques DNS
Vendredi dernier, à la réunion FRnog 20, une présentation sur un produit de sécurité comportait une partie sur les attaques par déni de service avec le DNS. Je voulais préciser quelques points à propos de ce risque. L'affirmation faite pendant la réunion comme quoi des requêtes DNS bien formées, mais utilisant des valeurs inhabituelles (par exemple une autre classe que IN) pourrait planter des serveurs me parait surprenante. Je ne me souviens pas d'une telle attaque dans les dix dernières années. (Et je ne vois donc pas l'intérêt d'un produit dont le seul rôle serait de bloquer ces paquets.) Quant aux paquets délibérément mal formés, il faut préciser que tous les logiciels serveurs DNS subissent des tests approfondis, notamment avec du fuzzing (un article *très* sommaire sur les tests DNS est http://www.bortzmeyer.org/paquets-invalides-scapy.html : les logiciels utilisés en production passent des tests bien plus riches). Cela a notamment été utilisé par l'équipe de Knot qui a fait des essais approfondis de la résistance des serveurs DNS à de tels paquets anormaux (avec leur logiciel et avec ceux des copains). Il faut préciser à ce sujet qu'il y a une énorme différence entre HTTP et DNS. Les attaques HTTP visent en général une application ou bien un serveur HTTP custom (essayez de vous souvenir de la dernière attaque réussie contre Apache). Ces applications et ces serveurs HTTP custom sont souvet programmés... de manière non sécurisée. Mettre un pare-feu devant peut donc avoir un sens. Au contraire, pour le DNS, il y a trois ou quatre logiciels serveurs, tous faits par des professionnes et ayant passé les tests dont je parlais. Je ne veux pas dire qu'ils sont invulnérables (CVE-2012-5689...), simplement qu'ils ont été bien plus testés que la plupart des produits pare-feux (lors des tests de configuration DNS, les bogues viennent bien plus souvent du pare-feu ou du load balancer que du serveur lui-même). Je suis donc sceptique quant à l'intérêt d'un tel dispositif (quel pare-feu aurait bloqué CVE-2012-5689 ?) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] À propos des attaques DNS
On 29 janv. 2013, at 19:47, Stephane Bortzmeyer bortzme...@nic.fr wrote: Vendredi dernier, à la réunion FRnog 20, une présentation sur un produit de sécurité comportait une partie sur les attaques par déni de service avec le DNS. Je voulais préciser quelques points à propos de ce risque. [...] Merci Stéphane pour cette précision qui est en ligne avec ce dont vous avons discuté pendant le beer event. À ce sujet, il est vraiment dommage que l'on ait pas eu de temps pour les questions aux 2 - 3 dernières présentations, dont F5 (à moins que ça ne soit délibéré, notamment concernant la présentation d'Alec). Les questions au Beer Event étaient certes possibles, mais du coup tout le monde ne bénéficie pas du retour, que ça soit sur site ou via le streaming. A+ Nicolas. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] À propos des attaques DNS
Le 29/01/2013 20:22, Nicolas CARTRON a écrit : On 29 janv. 2013, at 19:47, Stephane Bortzmeyerbortzme...@nic.fr wrote: Vendredi dernier, à la réunion FRnog 20, une présentation sur un produit de sécurité comportait une partie sur les attaques par déni de service avec le DNS. Je voulais préciser quelques points à propos de ce risque. [...] Merci Stéphane pour cette précision qui est en ligne avec ce dont vous avons discuté pendant le beer event. À ce sujet, il est vraiment dommage que l'on ait pas eu de temps pour les questions aux 2 - 3 dernières présentations, dont F5 (à moins que ça ne soit délibéré, notamment concernant la présentation d'Alec). aurait du apporter les boissons dans la salle qui aurait été survoltée avec du gros troll velu du vendredi... a+ Les questions au Beer Event étaient certes possibles, mais du coup tout le monde ne bénéficie pas du retour, que ça soit sur site ou via le streaming. A+ Nicolas. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/