Jump to content
Калькуляторы

Кто шлет запросы с 53го порта? Разоблачения! Скандалы! Интриги!

Всем добрый день

 

Недавно мой мир рухнул и я хочу поговорить об этом. Воспитанный на RFC я был искренне уверен, что все клиентские запросы должны идти исключительно с высоких портов.

 

Но тщательное исследование проведенное на очень нагруженном _авторитативном_ (никакой рекурсии, ни за километр!) DNS сервере показало, что мир рухнул и число валидных запросов с 53го порта просто зашкаливает.

 

Итак, наши герои:

выпилено по соображениям сетевого нейтралитета

 

Вопрос - какой именно DNS демон творит такую непотребщину?

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

из named.conf

 

/*

* If there is a firewall between you and nameservers you want

* to talk to, you might need to uncomment the query-source

* directive below. Previous versions of BIND always asked

* questions using port 53, but BIND versions 8 and later

* use a pseudo-random unprivileged UDP port by default.

*/

// query-source address * port 53;

Share this post


Link to post
Share on other sites

Это его стандартная конфигурация или же нет?

Вот вроде-ж на нормальном языке написано: "Previous versions of BIND always asked questions using port 53, but BIND versions 8 and later..."

Share this post


Link to post
Share on other sites

Воспитанный на RFC я был искренне уверен, что все клиентские запросы должны идти исключительно с высоких портов.

 

это в каком рфц такое сказано? запросы можно слать с любого порта, главное что б прав хватило

Share this post


Link to post
Share on other sites

Воспитанный на RFC я был искренне уверен, что все клиентские запросы должны идти исключительно с высоких портов.

это в каком рфц такое сказано? запросы можно слать с любого порта, главное что б прав хватило

 

Я надеюсь это шутка? :)

 

Для затравки даю вопрос DNS spoofing https://en.wikipedia.org/wiki/DNS_spoofing и даже цитату дам:

 

 

Source port randomization for DNS requests, combined with the use of cryptographically-secure random numbers for selecting both the source port and the 16-bit cryptographic nonce, can greatly reduce the probability of successful DNS race attacks.

 

 

Чем рискуют эти одаренные товарищи с байндом на 53м порту?

 

А тем, что отрубают один из механизмом защиты DNS к чертям собачьим.

 

Итак, в каждом запрошенном вами пакете есть 65 тыщ вариаций поля "id", который используется клиентом, чтобы проверить, что от сервера пришло то, что они просили. 65 тыщ комбинаций.Это перебирается за меньше секунды, просто пачкой запросов в днс и он отравлен. Все.

 

Чтобы этого не было, умные люди (а не те, кто имеет BIND на 53м порту) отключили эту чудо фичу по умолчанию и DNS сервер стал слать запросы с рандомного из ~20 000 портов. Что усложняет реализацию атаки с 65 тыщ попыток до 65 000 * 20 000 = 130 миллионов пакетов.

 

Такой объем хрен всунешь даже в 100 GE линк.

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

pavel.odintsov

ну и в чём смысл публиковать номера этих AS? поставит какой-нибудь клиент в вашей AS "кривой" DNS и тоже станете "героем". Вообще, делить трафик на "валидный" и "невалидный" это неправильно. сетевой нейтралитет же нынче в моде. хотя - шлю с 53 порта. если кто-то блочит такой трафик, то это мои проблемы будут

Share this post


Link to post
Share on other sites

сетевой нейтралитет же нынче в моде

Его уже давно нет.

Share this post


Link to post
Share on other sites

Дело не только в блокировке, но и в полной инсекьюрности данного подхода.

 

P.S. список выпилил. Но там отмечались "официальные резольверы", клиентов их видно сразу.

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

сетевой нейтралитет же нынче в моде

Его уже давно нет.

 

ну вот лично вы делаете приоритет одних сервисов на другими или что-то зарезаете? берёте ли вы доп.плату за какие-то ресурсы? (приоритет портов ВНУТРИ абонентской трубы не считается)

Share this post


Link to post
Share on other sites

сетевой нейтралитет же нынче в моде

Его уже давно нет.

ну вот лично вы делаете приоритет одних сервисов на другими или что-то зарезаете?

Мультикаст красим.

Share this post


Link to post
Share on other sites

pppoetest

это к сетевому нейтралитету особого отношения не имеет. отсутсвие нейтралитета это когда вы, например, блокируете чужой SIP, берёте деньги за просмотр порносайтов, мешаете абонентам пользоваться какими-то сервисами.

Share this post


Link to post
Share on other sites
Чем рискуют эти одаренные товарищи с байндом на 53м порту? А тем, что отрубают один из механизмом защиты DNS к чертям собачьим.

Почти ни чем, на практике.

С одной стороны есть DNSSEC, который в принципе решает проблему.

С другой, кроме собственно ID и srcPORT есть ещё и dstIP, те нормальные реализации резолверов следят не только за ID, именем но и за адресом откуда пришло.

Был ещё вариант повышения секурности путём рандомизации регистра в запросах и проверки в ответах, те запрос вместо mail.ru mAIl.rU был бы, к примеру.

 

Если бы мне нужна была мегасеркуность, то при отсутствии DNSSEC и наличии незапрошенных ответов для каких то доменов, я бы эти домены заносил в отдельный список, и ходил к ним по TCP с вопросами.

Share this post


Link to post
Share on other sites

Про рандомизацию региcтра - годная идея :) А кто именно из демонов так делает?

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

pavel.odintsov

я видел клиенты, которые так делают. кто именно - хз. вроде SOHO-роутеры какие-то, а там софт прикладного уровня как правило типичный opensource.

Share this post


Link to post
Share on other sites
Про рандомизацию региcтра - годная идея :) А кто именно из демонов так делает?

Хз, меня это не интересовало настолько.

 

Видел драфт, вероятно оно так и осталось в черновиках и не пошло в стандарт.

Клиентов не смотрел, о черновике узнал из каких то новостей лет 3+ назад.

Share this post


Link to post
Share on other sites

Я надеюсь это шутка? :)

так какой номер рфц?

то что такой подход не безопасен я знаю

Share this post


Link to post
Share on other sites

Я надеюсь это шутка? :)

так какой номер рфц?

то что такой подход не безопасен я знаю

 

Естественно тот, который описывает DNS и как должны слаться запросы, с учетом защиты от DNS spoofing :) Нумер искать лень.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this