[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Stephane Bortzmeyer 
On Fri, May 30, 2014 at 02:20:32PM +0200,
 Jean-Yves Bisiaux j...@efficientip.com wrote 
 a message of 67 lines which said:

 Oui c'est interessant, mais ces techniques de blocage de requetes
 DNS sont tres discutables et pourraient devenir rapidement un outil
 extraordinaire pour les hackers.

Bloquer le DNS ? L'article dit exactement le contraire « Do not
indiscriminately block UDP/53 on your networks! »


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Stephane Bortzmeyer 
On Fri, May 30, 2014 at 03:20:03PM +0200,
 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote 
 a message of 15 lines which said:

 Il ne parle jamais de bloquer les requetes DNS au niveau reseau,
 juste de ne pas repondre (en tant que resolver) a tout le monde.

Ce qui est une Bonne Pratique depuis longtemps
http://www.bortzmeyer.org/5358.html (RFC vieux de six ans)

 Le probleme etant quand le serveur repond n'importe quoi (X fois
 plus de data dans le reponse que dans la requete) a une addresse
 spoofe.

Là, la solution est clairement la limitation de trafic (dont Dobbins
ne parle pas) https://conf-ng.jres.org/2013/planning.html#article_37


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Jean-Yves Bisiaux 
  Oui c'est interessant, mais ces techniques de blocage de requetes
  DNS sont tres discutables et pourraient devenir rapidement un outil
  extraordinaire pour les hackers.

 Bloquer le DNS ? L'article dit exactement le contraire « Do not
 indiscriminately block UDP/53 on your networks! »


Dire:

• Do not indiscriminately block UDP/53 on your networks!
• Do not block UDP/53 packets larger than 512 bytes!
• Do not block TCP/53 on your networks!

laisse a penser que certaines requetes DNS peuvent etre bloquees. Non ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Yanik Cawidrone 
On 30 May, 2014 9:46 PM, Jean-Yves Bisiaux j...@efficientip.com wrote:

   Oui c'est interessant, mais ces techniques de blocage de requetes
   DNS sont tres discutables et pourraient devenir rapidement un outil
   extraordinaire pour les hackers.
 
  Bloquer le DNS ? L'article dit exactement le contraire « Do not
  indiscriminately block UDP/53 on your networks! »
 
 
 Dire:

 • Do not indiscriminately block UDP/53 on your networks!
 • Do not block UDP/53 packets larger than 512 bytes!
 • Do not block TCP/53 on your networks!

 laisse a penser que certaines requetes DNS peuvent etre bloquees. Non ?

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
D'ailleurs les requetes dns txt qui servent beaucoup pour la collecte d'url
a la hussarde (oui zvelo.com je pense a toi), vous en faites quoi?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Stephane Bortzmeyer 
On Fri, May 30, 2014 at 03:46:40PM +0200,
 Jean-Yves Bisiaux j...@efficientip.com wrote 
 a message of 44 lines which said:

 Dire:
 
 • Do not indiscriminately block UDP/53 on your networks!
 • Do not block UDP/53 packets larger than 512 bytes!
 • Do not block TCP/53 on your networks!
 
 laisse a penser que certaines requetes DNS peuvent etre bloquees. Non ?

Ben, c'est pareil que pour IP. Je pense qu'on sera tous d'accord pour
dire qu'il ne faut pas indiscriminately block IP on your networks,
néanmoins nous allons tous bloquer des paquets de temps en temps, sur
des critères comme l'adresse IP de destination, en cas de dDoS.

Donc, oui, si nos serveurs crachent un flot continu de réponses DNS
énormes, nous allons bloquer (ou, plus exactement, limiter) le trafic
des requêtes DNS venant de cette adresse (les guillemets à cause de
l'usurpation d'adresse). Agir autrement ne serait pas responsable
puisque le réflecteur participe, même si ce n'est pas volontaire, à
une attaque. (Notez qu'il s'agit d'une opinion personnelle, ce point
ne figure *pas* dans l'exposé de Dobbins.)




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Re: [FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Radu-Adrian Feurdean 
On Fri, May 30, 2014, at 15:46, Jean-Yves Bisiaux wrote:
 Dire:
 
 • Do not indiscriminately block UDP/53 on your networks!
 • Do not block UDP/53 packets larger than 512 bytes!
 • Do not block TCP/53 on your networks!
 
 laisse a penser que certaines requetes DNS peuvent etre bloquees. Non ?

Il s'addresse surtout aux RSSI et inges securite qui bloquent
aveuglement des choses sans savoir a quoi ca correspond. On peut parler
longuement sur ca, certains diront que c'est LA bonne pratique.

Apres, il y a aussi difference entre bloquer (la source transmet, la
destination ne recoit pas) et ne pas repondre (la source n'emet pas de
reponse).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Stephane Bortzmeyer 
On Fri, May 30, 2014 at 03:56:12PM +0200,
 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote 
 a message of 29 lines which said:

 Je ne suis pas d'accord non plus avec If you get a reputation as a
 spoofing-friendly network, you will be de-peered/de-transited and/or
 blocked!; c'est juste mensonger et intellectuellement malhonnete.

Je pense que c'était plutôt un souhait, de la part de Dobbins. En
effet, si les mauvais qui ne font pas de BCP 38 étaient dé-transités,
ça se saurait :-}


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Jean-Yves Bisiaux 
Je disais que les technique de blocage sont tres discutable, dans le sens
ou celles qui sont automatiques sont dangereuse car basées sur des
euristiques de statistiques tres/trop simples.

Le 30 mai 2014 15:26, Stephane Bortzmeyer bortzme...@nic.fr a écrit :

 On Fri, May 30, 2014 at 03:20:03PM +0200,
  Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote
  a message of 15 lines which said:

  Il ne parle jamais de bloquer les requetes DNS au niveau reseau,
  juste de ne pas repondre (en tant que resolver) a tout le monde.

 Ce qui est une Bonne Pratique depuis longtemps
 http://www.bortzmeyer.org/5358.html (RFC vieux de six ans)



Ici tu parles de resolver ouvert, moi je te le refais avec un resolver
fermé.
Un faux serveur autoritaire (spoofed) flood un serveur recursif fermé, tu
limites la prise en compte de reponses en dropant des paquets sur ton
recursif.
Regarde la page 7 de ce slide:
http://www.ssi.gouv.fr/IMG/pdf/DNS-OARC-2013-Blocking_DNS_Messages_Is_Dangerous.pdf



  Le probleme etant quand le serveur repond n'importe quoi (X fois
  plus de data dans le reponse que dans la requete) a une addresse
  spoofe.

 Là, la solution est clairement la limitation de trafic (dont Dobbins
 ne parle pas) https://conf-ng.jres.org/2013/planning.html#article_37


Je suis d'accord avec toi, c'est avant tout un pb de spoofing, qu'on ne va
pas resoudre en bloquant les paquets.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Jean-Yves Bisiaux 
Le 30 mai 2014 15:54, Stephane Bortzmeyer bortzme...@nic.fr a écrit :

 On Fri, May 30, 2014 at 03:46:40PM +0200,
  Jean-Yves Bisiaux j...@efficientip.com wrote
  a message of 44 lines which said:

  Dire:
 
  • Do not indiscriminately block UDP/53 on your networks!
  • Do not block UDP/53 packets larger than 512 bytes!
  • Do not block TCP/53 on your networks!
 
  laisse a penser que certaines requetes DNS peuvent etre bloquees. Non ?

 Ben, c'est pareil que pour IP. Je pense qu'on sera tous d'accord pour
 dire qu'il ne faut pas indiscriminately block IP on your networks,
 néanmoins nous allons tous bloquer des paquets de temps en temps, sur
 des critères comme l'adresse IP de destination, en cas de dDoS.


OK au cas par cas.
Donc tu ne laisse pas un système automatique le faire à ta place ?



 Donc, oui, si nos serveurs crachent un flot continu de réponses DNS
 énormes, nous allons bloquer (ou, plus exactement, limiter) le trafic
 des requêtes DNS venant de cette adresse (les guillemets à cause de
 l'usurpation d'adresse).


C'est bien pour ca que RRL renvoie toujours une reponse.
Mais la tu est dans l'optique de proteger la victime.

Les solutions de pure DDOS sont en périphérie du DNS et ne protège pas que
les victimes mais le DNS dans sa globalité. En pensant se protéger d'une
manière radicale contre un flooding (reflexion, DDOS, amplifiaction) on
finit par se mettre en danger avec des mécanismes de protection.

Agir autrement ne serait pas responsable
 puisque le réflecteur participe, même si ce n'est pas volontaire, à
 une attaque. (Notez qu'il s'agit d'une opinion personnelle, ce point
 ne figure *pas* dans l'exposé de Dobbins.)


Complétement d'accord.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Stephane Bortzmeyer 
On Fri, May 30, 2014 at 04:14:13PM +0200,
 Jean-Yves Bisiaux j...@efficientip.com wrote 
 a message of 96 lines which said:

 Je disais que les technique de blocage sont tres discutable, dans le sens
 ou celles qui sont automatiques sont dangereuse car basées sur des
 euristiques de statistiques tres/trop simples.

Je suggère d'essayer de mettre plus de rigueur dans la
discussion. Radu-Adrian Feurdean a fait remarquer à juste titre qu'on
parle ici dans une perspective d'opérateur réseau. Bloquer le DNS dans
le réseau, non, et c'est ce que dit Dobbins. Mais qu'un serveur ne
réponde pas, c'est tout à fait autre chose. Une machine a toujours le
droit de ne pas répondre si ça la gonfle !

Peut-être je comprendrai mieux si je savais de quoi on parle ?  De
RRL ?

 Ici tu parles de resolver ouvert, moi je te le refais avec un
 resolver fermé.

S'il est fermé, aucun problème. Et Dobbins ne cite *aucune*
recommandation concernant ces résolveurs fermés. Il faut lire son
exposé.

 Un faux serveur autoritaire (spoofed) flood un serveur recursif
 fermé, tu limites la prise en compte de reponses en dropant des
 paquets sur ton recursif.

Je ne comprends pas. Si quelqu'un émet une réponse à un récursif, en
se faisant passer pour un serveur faisant autorité, la réponse ne sera
pas acceptée par le récursif (mauvais Query ID, port source,
etc). Aucun besoin de mesure spécifique.

 Regarde la page 7 de ce slide:
 http://www.ssi.gouv.fr/IMG/pdf/DNS-OARC-2013-Blocking_DNS_Messages_Is_Dangerous.pdf

Je connais. Je ne suis pas d'accord. Et, de toute façon, ce n'est pas
le cas que vous décrivez, il s'agit dans cet exposé d'un serveur
faisant autorité, et décidant de ne pas répondre à tout (grâce à RRL).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Par sujet Jean-Yves Bisiaux 
Le 30 mai 2014 16:30, Stephane Bortzmeyer bortzme...@nic.fr a écrit :

 On Fri, May 30, 2014 at 04:14:13PM +0200,
  Jean-Yves Bisiaux j...@efficientip.com wrote
  a message of 96 lines which said:

  Je disais que les technique de blocage sont tres discutable, dans le sens
  ou celles qui sont automatiques sont dangereuse car basées sur des
  euristiques de statistiques tres/trop simples.

 Je suggère d'essayer de mettre plus de rigueur dans la
 discussion. Radu-Adrian Feurdean a fait remarquer à juste titre qu'on
 parle ici dans une perspective d'opérateur réseau. Bloquer le DNS dans
 le réseau, non, et c'est ce que dit Dobbins. Mais qu'un serveur ne
 réponde pas, c'est tout à fait autre chose. Une machine a toujours le
 droit de ne pas répondre si ça la gonfle !

 Peut-être je comprendrai mieux si je savais de quoi on parle ?  De
 RRL ?


Pas de RRL qui répond lui, mais des équipements de detection de flooding et
de mitigation automatique anti-DDOS.



  Ici tu parles de resolver ouvert, moi je te le refais avec un
  resolver fermé.

 S'il est fermé, aucun problème. Et Dobbins ne cite *aucune*
 recommandation concernant ces résolveurs fermés. Il faut lire son
 exposé.


Ok, je vais bien le relire alors. :-)


  Un faux serveur autoritaire (spoofed) flood un serveur recursif
  fermé, tu limites la prise en compte de reponses en dropant des
  paquets sur ton recursif.

 Je ne comprends pas. Si quelqu'un émet une réponse à un récursif, en
 se faisant passer pour un serveur faisant autorité, la réponse ne sera
 pas acceptée par le récursif (mauvais Query ID, port source,
 etc). Aucun besoin de mesure spécifique.


Tu le sais, c'est une approche court terme.
Seul DNSSEC aujourd'hui ou d'autres mécanisme actifs garantissent la
protections.



  Regarde la page 7 de ce slide:
 
 http://www.ssi.gouv.fr/IMG/pdf/DNS-OARC-2013-Blocking_DNS_Messages_Is_Dangerous.pdf

 Je connais. Je ne suis pas d'accord. Et, de toute façon, ce n'est pas
 le cas que vous décrivez, il s'agit dans cet exposé d'un serveur
 faisant autorité, et décidant de ne pas répondre à tout (grâce à RRL).


Dans ce document on parle effectivement de l'exploitation d'un serveur
faisant l'autorite,  mais pour empoisonner un resolveur.
Le message general est qu'il ne faut pas bloquer les paquets.
Et encore une fois l'empoisonnement du cache n'est qu'un exemple.
Le declenchement automatique du bloquage d'une adresse spoofed (resolveur
d'un ISP ...) bien choisie serait tres efficace comme acte de malveillance.

---
Liste de diffusion du FRnOG
http://www.frnog.org/