Русский физик атаковал «залатанный» DNS

как было замечено
http://www.linux.org.ru/view-message.jsp?msgid=2998522#2999709
новость весьма провокационная ...

Ах уж эти русские физики... Небось ему кто два пива проспорил.

Хорошо-то как! Русские физики настолько суровы..

я знаю Евгения Полякова, и он музыкант )) я аж испугался

http://tservice.net.ru/~s0mbre/blog/devel/networking/dns/2008_08_09.html

Slackware user ?! )))

лютый слакварщик)))

ждём когда котласские речники подтянутся!)))

надо прописать лор в /etc/hosts...

Вот что, из-под выбранного Slackware, вытворяют русские физики :)

русские физики предложили альтернативу LHC

Ломал из под слаки?

Это еще раз подтверждает мысль о том, что когда в России освоят Линукс (в ближайшие три-пять лет), само движение открытого ПО (его идея, бизнес-модель, наработки) сильно изменится в смысле роста.

Здесь будут такие вещи творится, что новость о виндекапце просто затеряется среди сообщений, как например: ЖЕК № 18 наконец-то заасфальтировал Бабушкин тупик в Мухосранске.

В общем, нас ждет большое будущее, о размерах которого мы можем только догадываться.

А зачем анонимусам коменты запретили? Откройте, может аффтор что скажет.

мне интересно, много ли таких "ломальщиков" сидят на GigE unlimited интерфесах? опять же, в течении 10 часов!!! по-моему, если на ваш сервер, подключенный по 100Mbit/s идет трафик в 1Gbit/s, то тут сразу можно понять, что что-то не так ;)

Что-то мне подсказыает, что это попросту невозможно.

Задача элементарно решается мелким ботнетом из 100 машин. Главное - это ограничения входящего канала сервера. Ну или простейший троян в локальной сети. все эти варианты описаны в блоге автора.

удивляет, что бугага существует с самого рождения DNS,
а приоткрыли только недавно

Сферический конь в ваккууме жжот :)

Почему физик-то? Как пошло с New York Times, так и наши журналюги скопи-пастили.
Он сам пишет, что давно уже забыл всю физику.

Кстати, из комментов очень показательно, сколько народу читает ссылку, прежде чем комментировать.

>удивляет, что бугага существует с самого рождения DNS, а приоткрыли только недавно

Есть мнение, что она используется уже давным давно, просто сейчас Камински решил попиарится... В Полякову просто делать было нех, он за две недели эксплоит и написал. Но кто их знает на самом деле...

А физик патамушта широта кругозора. Кстати фамилия Поляков в физике весьма знатная.

Ох уж эти физики

Русский физик атаковал «залатанный» DNS и теперь сидит без интернета? :)

> Он сам пишет, что давно уже забыл всю физику.

И что? Физиков, как и чекистов, бывших не бывает (каламбур) ;)

Российский физик жжот напалмом.

>удивляет, что бугага существует с самого рождения DNS, а приоткрыли только недавно

Ну дык ошибка в самом протоколе :-)

Новость подана в стиле ЛОРа, посмеялся))

Значит всем остаётся только молча скорбеть о дырявом DNS и обращатся ко всем серверам по IP?

Последователь Луговского?

Настолько, насколько суровы челябинские мужики.

Ученик)))))))))))))))

>я знаю Евгения Полякова, и он музыкант )) я аж испугался

Какое совпадение. И я тоже :) Но "мой" программист, бывший сотрудник M$

Видимо DNS работал на слаке...

DNS не нужен :-D

> Задача элементарно решается мелким ботнетом из 100 машин. Главное - это ограничения входящего канала сервера. Ну или простейший троян в локальной сети. все эти варианты описаны в блоге автора.

100 машин загрузят канал входящий для target NS сервера на 100% , таким образом, что он перестанет что либо резолвить - это называется (d)DoS, а никак не cache poisoning.

рассмотрим другую ситуацию, есть IP рекурсивного сервера, который висит на Load Balancer'e , который в свою очередь раскидывает входящие запросы на резолвинг на ферму машин за ним, как вы предлагаете это поизонить? Ведь у каждой машины свой cache, а новый запрос не обязательно попадет на туже машину. Входящий канал как обычно мониторится (спасибо cacti), так что увеличение DoS трафика будет заметно. Короче действительно получается "сферический конь в вакууме", я _реальной_ возможности пока не вижу.

> Значит всем остаётся только молча скорбеть о дырявом DNS и обращатся ко всем серверам по IP?

всем рекомендуется пользоваться например opendns.com серверами :)

а давайте в talks? поржать охота :)

как там у физиков с сопротивляемостью к порывам ветра?:)))

Грамотный конечно код. Но атака .......

eill@notebook:~$ cat /etc/hosts | grep lor
217.76.32.61 linux.org.ru lor

/me ушёл ставить Slackware...

Парень решил попиарится. с ПохмелFS не вышло - результатов не видно, даже до уровня NFS не дотянуло. Теперь придумал другой сверический конь в вакуме. Как справедливо заметил mator в любом боль менее крупном ISP каналы мониторятся - и резкий всплеск потока по каналу будет моментально замечен админами. Кроме того сделать snort маску для этой атаки тривиально, в других IDS это должно быть тоже не сложно. И кому такая теоритическая атака нужна? только для пиара.

>100 машин загрузят канал входящий для target NS сервера на 100% , таким образом, что он перестанет что либо резолвить - это называется (d)DoS, а никак не cache poisoning.

Когда они таки добавят нужные записи в кэш сервера, все клиенты пойдут на сайты атакующего, и чем сильнее забит входящий канал поддельными пакетами, тем лучше для атаки, т.к. дольше будут пролазить ответы от настоящего сервера.

>Парень решил попиарится.

Тем, что поместил это в своем блоге? :)

>с ПохмелFS не вышло - результатов не видно, даже до уровня NFS не дотянуло.

Дотянуло заметно дальше... И он над ней продолжает работать, как написано в блоге.

>Теперь придумал другой сверический конь в вакуме. Как справедливо заметил mator в любом боль менее крупном ISP каналы мониторятся - и резкий всплеск потока по каналу будет моментально замечен админами.

И что они сделают с входящим трафиком? Резать начнут? Пропадут ответы от клиентов, они будут повторно посылаться, что только играет на руку атакующему.

>Кроме того сделать snort маску для этой атаки тривиально, в других IDS это должно быть тоже не сложно. И кому такая теоритическая атака нужна? только для пиара.

Эти пакеты выглядят абсолютно так же как и от настоящего авторитарного сервера. Их просто больше.

>рассмотрим другую ситуацию, есть IP рекурсивного сервера, который висит на Load Balancer'e , который в свою очередь раскидывает входящие запросы на резолвинг на ферму машин за ним, как вы предлагаете это поизонить? Ведь у каждой машины свой cache, а новый запрос не обязательно попадет на туже машину.

А в чем проблема? Вместо одного сервера заражайте все, или один. Просто увеличивается время.

>Входящий канал как обычно мониторится (спасибо cacti), так что увеличение DoS трафика будет заметно. Короче действительно получается "сферический конь в вакууме", я _реальной_ возможности пока не вижу.

Как говорит автор, особо большой угрозы от этого действительно нет, факт остается: протокол и его реализации уязвимы в той или иной степени. Кому-то это не доставит хлопот, кто-то станет внедрять dnssec.

а это и так будет повторяться с периодом 11 лет(цикл солнечной активности). прошлай раз пойзонги были - в 1997-м. пока, НАКОНЕЦ не ВНЕДРЯТ DNSSec !! как дефолт и в "приличные ресурсы" пускать не будут. без.

Если я скажу про слаку - буду не оригинален?

а про миграцю на слаку - не такая уж большая шутка(фиговая идея), тем паче - в случае выделенности NS-сервисов. впрочем, кому надо - могут еще более параноидально мигрировать.

>BasileyOne

Сударь,Вас где учили так изъясняться? :)