DNS-OARC: 2013 会议 笔记

oarc fall 2013

见：OARC Fall 2013 Workshop (Phoenix)

DITL crunching for ICANN gTLD collision study

讲用 tcpdump + fgrep + packetq 抓包处理，大概就这样

Abusing Resources to Process 7.5TB of PCAP Data

讲用xargs -P 调多核处理抓包，同样用packetq解包，还吐槽了一下tshark的速度

可以仔细看一下

Regional Affinity for Applied for gTLD Strings

新gTLD实施后，根解析性能的影响，等等

还是大家知道的，时延，各国镜像，etc

A possible methodology for evaluating new TLD delegations for risk

讨论命名冲突的问题，参考 name-collision-02aug13-en.pdf

DNSViz - Monitoring, Analysis, and Visualization

权威检查的可视化，http://dnsviz.net，很不错！

内容值得学习，尤其是servers那一块，简单明了。

DNS workbench update

检查dnssec的，可以浏览一下

Introducing Hedgehog

权威查询流量的可视化，http://hedgehog.dns.icann.org/hedgehog/hedgehog.html 各节点，各种QTYPE，各种RCODE，等等

图表主要是折线、面积图、条/柱状图，指标类型比较细致全面

很不错

OARC Systems Update

讲oarc服务的数据，翻翻吧

Analysis of DITL root data and comparison with jp data

把jp的查询数据和ditl根查询数据：https://www.dns-oarc.net/ditl/2011/

做对比，看各类查询量趋势，以及dnssec、edns0等的趋势

An Open Resolver view of the New York Times Very Bad Day

nytimes在注册商登记的ns被黑之后，从open recur的角度看影响恢复

分析的很不错！

出事6－7小时之后，开始去3300万的open recur问nytimes的记录，问了11小时

open recur一起forward的后端约30万，实际查询qps不大

出事后一个月还有500多个open recur返回劫持ip

其实最悲剧的在于，只要ns一直错，a就没法回正确

Blocking DNS Messages is Dangerous

这篇主要是说RRL限制返回应答次数，可能导致缓存攻击的可能增大

（攻击者想在某个recur上搞某个zone的缓存中毒时，故意伪装成recur向该zone的权威发一堆包，触发RRL，导致recur向该zone的查询得到应答的时间变长）

存有争议的说法，参考这个笔记：http://abbypan.blogspot.com/2013/09/dns-rrl-cache-poison.html

俺个人觉得还是要限制，不然会被TX死

Herzberg/Shulman IP Fragmentation Attack

返回的查询结果被IP分片，分片的地方Authoritive Section还没结束、或者Additional Secion还没结束，这个时候，如果伪造第二个IP分片内容，可能缓存中毒。

RTT 10ms左右，大概100Mbps带宽就行了

问题根源还在源地址认证、DNS数据包认证上

部分措施：

• edns0的长度 <= path mtu
• 如果返回数据要被分片就启用TCP查询（可惜事实往往不是如此！）

A Question of DNS Protocols

这篇主要是针对时延的吐槽，哈哈，关于UDP、TC、EDNS0，etc。

大意是中间经过的递归、权威查询这些配置不一，可能有2个RTT或更多的时延，也有一些情况下直接查询失败。还画了个热度图，for example.

问题本身很直白，但细节很有意思。

协议的叠床架屋导致几种结果同时存在，问题若隐若现。

Needles in a Quadrillion-Straw Haystack

扯了一些nominum对查询的分析识别

DNS: Useful tool or just a hammer

威胁综述

oarc 2013

Cache Attacks by Greg CHOULES

用正常用户的iphone当肉鸡，查http://www.xxxxx.com 形式的域名，xxxxx随机，问题是这个时候不能限制源IP，否定缓存会撑爆内存（所以不能存）

每个源IP查多个 http://xxxxxx.sometrust.com 域名，http://sometrust.com 是可信域，xxxxxx随机，等http://sometrust.com 权威返回结果等太久，内存撑爆

Classifying Resolver Capabilities Presented by Olafur GUDMUNDSSON

扫了一遍递归服务器，探测找了一把forwarder比例

Defending against DNS Amplification Attacks by Javy DE KONING

可信域的放大攻击，ISP入口BCP38过滤，DNS处RRL(Response Rate Limit) 限速，例如noerror的0.1s响应，但nxdomain的5s响应

---

---

Published

Tags

• dns 52
• oarc 4

Share On

• twitter


• weibo


• reddit


• linkedin