oarc fall 2013

见:OARC Fall 2013 Workshop (Phoenix)

DITL crunching for ICANN gTLD collision study

讲用 tcpdump + fgrep + packetq 抓包处理,大概就这样

Abusing Resources to Process 7.5TB of PCAP Data

讲用xargs -P 调多核处理抓包,同样用packetq解包,还吐槽了一下tshark的速度

可以仔细看一下

Regional Affinity for Applied for gTLD Strings

新gTLD实施后,根解析性能的影响,等等

还是大家知道的,时延,各国镜像,etc

A possible methodology for evaluating new TLD delegations for risk

讨论命名冲突的问题,参考 name-collision-02aug13-en.pdf

DNSViz - Monitoring, Analysis, and Visualization

权威检查的可视化,http://dnsviz.net,很不错!

内容值得学习,尤其是servers那一块,简单明了。

DNS workbench update

检查dnssec的,可以浏览一下

Introducing Hedgehog

权威查询流量的可视化,http://hedgehog.dns.icann.org/hedgehog/hedgehog.html 各节点,各种QTYPE,各种RCODE,等等

图表主要是折线、面积图、条/柱状图,指标类型比较细致全面

很不错

OARC Systems Update

讲oarc服务的数据,翻翻吧

Analysis of DITL root data and comparison with jp data

把jp的查询数据和ditl根查询数据:https://www.dns-oarc.net/ditl/2011/

做对比,看各类查询量趋势,以及dnssec、edns0等的趋势

An Open Resolver view of the New York Times Very Bad Day

nytimes在注册商登记的ns被黑之后,从open recur的角度看影响恢复

分析的很不错!

出事6-7小时之后,开始去3300万的open recur问nytimes的记录,问了11小时

open recur一起forward的后端约30万,实际查询qps不大

出事后一个月还有500多个open recur返回劫持ip

其实最悲剧的在于,只要ns一直错,a就没法回正确

Blocking DNS Messages is Dangerous

这篇主要是说RRL限制返回应答次数,可能导致缓存攻击的可能增大

(攻击者想在某个recur上搞某个zone的缓存中毒时,故意伪装成recur向该zone的权威发一堆包,触发RRL,导致recur向该zone的查询得到应答的时间变长)

存有争议的说法,参考这个笔记:http://abbypan.blogspot.com/2013/09/dns-rrl-cache-poison.html

俺个人觉得还是要限制,不然会被TX死

Herzberg/Shulman IP Fragmentation Attack

返回的查询结果被IP分片,分片的地方Authoritive Section还没结束、或者Additional Secion还没结束,这个时候,如果伪造第二个IP分片内容,可能缓存中毒。

RTT 10ms左右,大概100Mbps带宽就行了

问题根源还在源地址认证、DNS数据包认证上

部分措施:

  • edns0的长度 <= path mtu
  • 如果返回数据要被分片就启用TCP查询(可惜事实往往不是如此!)

A Question of DNS Protocols

这篇主要是针对时延的吐槽,哈哈,关于UDP、TC、EDNS0,etc。

大意是中间经过的递归、权威查询这些配置不一,可能有2个RTT或更多的时延,也有一些情况下直接查询失败。还画了个热度图,for example.

问题本身很直白,但细节很有意思。

协议的叠床架屋导致几种结果同时存在,问题若隐若现。

Needles in a Quadrillion-Straw Haystack

扯了一些nominum对查询的分析识别

DNS: Useful tool or just a hammer

威胁综述

oarc 2013

Cache Attacks by Greg CHOULES

用正常用户的iphone当肉鸡,查http://www.xxxxx.com 形式的域名,xxxxx随机,问题是这个时候不能限制源IP,否定缓存会撑爆内存(所以不能存)

每个源IP查多个 http://xxxxxx.sometrust.com 域名,http://sometrust.com 是可信域,xxxxxx随机,等http://sometrust.com 权威返回结果等太久,内存撑爆

Classifying Resolver Capabilities Presented by Olafur GUDMUNDSSON

扫了一遍递归服务器,探测找了一把forwarder比例

Defending against DNS Amplification Attacks by Javy DE KONING

可信域的放大攻击,ISP入口BCP38过滤,DNS处RRL(Response Rate Limit) 限速,例如noerror的0.1s响应,但nxdomain的5s响应



blog comments powered by Disqus

Published

22 November 2013

Tags