'anonymous' dreigt 13 root DNSen down te brengen - Privacy en beveiliging

woensdag 22 februari 2012 08:41

Acties:

omdat het kan

Topicstarter

hoihoi

Al enige tijd bekend maar kennelijk nog geen topic.
http://pastebin.com/XZ3EGsbc

Hier post iemand namens (!) anonymous dat 31/3 13 root DNS servers plat zullen gaan. Laten we even aannemen dat deze persoon daadwerkelijk voor iets dat anonymous heet spreekt.

Hoe wil je dat effectief gaan doen ?

The principle is simple; a flaw that uses forged UDP packets is to be
used to trigger a rush of DNS queries all redirected and reflected to
those 13 IPs. The flaw is as follow; since the UDP protocol allows it,
we can change the source IP of the sender to our target, thus spoofing
the source of the DNS query.

The DNS server will then respond to that query by sending the answer to
the spoofed IP. Since the answer is always bigger than the query, the
DNS answers will then flood the target ip. It is called an amplified
because we can use small packets to generate large traffic. It is called
reflective because we will not send the queries to the root name servers,
instead, we will use a list of known vulnerable DNS servers which will
attack the root servers for us.

Okay op zich niet heel complex. Truc is dus dat je de kleinere DNS servers een UDP pakket stuurt dat lijkt af te komen van een root-DNS, waarbij zij een antwoord naar de root DNSen sturen.
Op zich handig.

Punt is , hoe ga je dit voorkomen?

Overleven op de DNS cache @ ISPs?

While some ISPs uses DNS caching, most are configured to use a low
expire time for the cache, thus not being a valid failover solution
in the case the root servers are down. It is mostly used for speed,
not redundancy.

In principe zou het volgens mij (!) minder schadelijk zijn om de DNS cache van ISPs (laten we die even als de kleinere DNS servers zien) op een TTL van een dagje te zetten en daarna de 13 root DNSen te firewallen.
Dit is niet heel wenselijk ivm changes die niet doorgevoerd worden, maar dat lijkt me een stuk wenselijker dan het hele DNS systeem (en in de praktijk een fijn deel van het internet) uitzetten.

Her en der hoor ik ook de suggestie om de bekende google DNSen (8.8.8.8 en 8.8.4.4) ook maar te gaan gebruiken als root-DNS; Google heeft immers redelijk veel capaciteit.

Heeft iemand nog andere ideeen over hoe je dit tegen zou kunnen gaan? Op zich wel aardig om zo eens over te filosoferen leek mij.

woensdag 22 februari 2012 12:14

Acties:

Yarisken

Ik ben ervan overtuigd dat het kan maar ik hoop dat het niet gaat gebeuren. Dit zou conservatieven er kunnen toe aanzetten om hun plannen met het redelijke "vrije" internet aan banden te leggen.
Volgens mij is het gewoon wachten op de 1ste echte grote cyberoorlog voor we effectief gaan zien wat de gevolgen zijn.

woensdag 22 februari 2012 12:34

Acties:

Boudewijn

omdat het kan

Topicstarter

Nou ik denk dat het op zich best mogelijk is die 13 root-DNSen te DDOSen maar ik vraag me af wat de impact is van 'maar' 24 uur. Aan de andere kant; een 24 uur's DDOS lijkt me vrij pittig... ook voor een brede groep.

Volgens mij zouden ISPs dit op hun routering ook redelijk moeten kunnen blokkeren lijkt me, je kunt je immers afvragen wat standaard clients aan het doen zijn als ze pakketten naar een root-DNS sturen?

woensdag 22 februari 2012 12:38

Acties:

ralpje

Deugpopje

Die standaard clients connecten toch niet naar de root-DNS, als ik je verhaal goed begrijp? Die standaard clients (of een botnetje) connecten naar kleinere DNS servers, met als source in het UDP-pakketje het IP van een root-DNS.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

woensdag 22 februari 2012 12:51

Acties:

Jaap-Jan

Niet direct, maar als de TTL is verlopen voor een bepaald record, dan zoekt de DNS server het hogerop. Dit zou een tussenliggende server kunnen zijn, of één van de rootservers. Dat hangt af van hoe één en ander geconfigureerd is op die DNS server.

Maar als de rootservers plat liggen, heb je uiteindelijk wel een probleem.

Volgens mij zouden ISPs dit op hun routering ook redelijk moeten kunnen blokkeren lijkt me, je kunt je immers afvragen wat standaard clients aan het doen zijn als ze pakketten naar een root-DNS sturen?

D'r zijn volgens mij wel legitieme redenen voor om het source address te spoofen, maar ik weet zo niet meer wat die zijn en of dat ook voor DNS geldt.

[ Voor 35% gewijzigd door Jaap-Jan op 22-02-2012 12:54 ]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

woensdag 22 februari 2012 13:40

Acties:

Boudewijn

omdat het kan

Topicstarter

ralpje schreef op woensdag 22 februari 2012 @ 12:38:
Die standaard clients connecten toch niet naar de root-DNS, als ik je verhaal goed begrijp? Die standaard clients (of een botnetje) connecten naar kleinere DNS servers, met als source in het UDP-pakketje het IP van een root-DNS.

Nou ja clients horen niet naar de root-DNSen t econnecten nee.

Even een voorbeeld, ik wil blaat.xs4all.nl resolven.
Ik vraag aan mijn DNS dat adres op.

Mijn DNS kijkt of hij in de cache het IP voor blaat.xs4all.nl heeft staan. If not? Dan gaat hij kijken of hij dat van de DNS van xs4all.nl heeft, en anders de TLD server (dus .nl). Is die er ook niet, dan gaat hij naar een root DNS om de authoritative server van .nl op te vragen.

Punt is alleen dat heel veel clients volgesn wiki ook gewoon dom die root DNS querien. Heb je weinig aan , want je zit vaak veel dichter bij de DNS van je ISP.
Even een quote van wikipedia:

In practice, most of this information does not change very often over a period of hours and therefore it is cached by intermediate name servers or by a name cache built into the user's application. DNS lookups to the root nameservers may therefore be relatively infrequent. A survey in 2003 [2] reports that only 2% of all queries to the root servers were legitimate. Incorrect or non-existent caching was responsible for 75% of the queries, 12.5% were for unknown TLDs, 7% were for lookups using IP addresses as if they were domain names, etc. Some misconfigured desktop computers even tried to update the root server records for the TLDs. A similar list of observed problems and recommended fixes has been published in RFC 4697.

Wikipedia: Root name server
Ik ben trouwens geen DNS goeroe, dus als ik iets mis hoor ik het graag

.

Die standaard clients connecten toch niet naar de root-DNS, als ik je verhaal goed begrijp? Die standaard clients (of een botnetje) connecten naar kleinere DNS servers, met als source in het UDP-pakketje het IP van een root-DNS.

Nee ze sturen een kleine vraag naar een gewone DNS met als fake afzender van de vraag een root-dns. Gevolg is dat de kleinere DNS een antwoord stuurt naar de root-dns die er niet om vroeg. Het leuke hiervan is dat je verzoek veel kleiner is dan je antwoord. Je kunt bij wijze van spreken met 10 bytes output vanaf je DDOS machine 100bytes traffic voor de rootDNS creeeren. Daarom is het een amplification aanval.

Jaap-Jan schreef op woensdag 22 februari 2012 @ 12:51:
Niet direct, maar als de TTL is verlopen voor een bepaald record, dan zoekt de DNS server het hogerop. Dit zou een tussenliggende server kunnen zijn, of één van de rootservers. Dat hangt af van hoe één en ander geconfigureerd is op die DNS server.

Idd. Daarom, als je weet dat de rommel max 24h aanhoudt.... ik zou bijna zeggen zet voor die dag de TTL lekker hoog.

Maar als de rootservers plat liggen, heb je uiteindelijk wel een probleem.

Dan is de 24uurs aanval hopelijk afgelopen, of zijn er passende maatregelen tegen gevonden. Hopelijk.
Moet hij natuurlijk niet langer duren dan 1 dag.

D'r zijn volgens mij wel legitieme redenen voor om het source address te spoofen, maar ik weet zo niet meer wat die zijn en of dat ook voor DNS geldt.

Oeh interesting. Vertel

. Er zijn trouwens ook legitieme redenen voor een open relay @ SMTP. Maar die vind je ook niet zoveel meer.... wellicht dat dat hier ook zou moeten. Maar goed, ik ken de redenen niet.

woensdag 22 februari 2012 13:45

Acties:

Rukapul

In plaats van ultieme technische maatregelen vooraf om de root servers te beschermen is het handiger om het tuig zelf aan te pakken en dat kan alleen maar door systematisch een grens te trekken en voorbeelden te stellen. Een digitaal SWAT team om ze op te sporen en vervolgens een fysiek ME-team om het ze af te leren.

woensdag 22 februari 2012 13:46

Acties:

Verwijderd

Ik doe even schaamteloos copy van security.nl

Internetbeweging Anonymous is van plan om op 31 maart het internet plat te leggen, maar 1-aprilgrap of niet, dat zal ze niet lukken. Dat voorspelt beveiligingsexpert Robert Graham van Errata Security. Om het internet op zwart te krijgen wil Anonymous de 13 root DNS-servers uitschakelen. De aankondiging werd gedaan op Pastebin en wordt 'Operation Global Blackout' genoemd.

Er zijn echter verschillende redenen waarom de aanval niet meer praktisch is, merkt Graham op. Veel aanvallen slagen omdat het dagen duurt voordat het slachtoffer het door heeft. Dat is niet het geval met de root DNS-servers. Zodra daar iets mee is zullen binnen minuten honderden experts beschikbaar zijn om het probleem op te lossen.

Diversiteit
Een tweede reden dat het Anonymous het niet zal lukken, is de diversiteit van de 13 root DNS-servers. Die worden door verschillende organisaties met verschillende hardware, software en beleid beheerd. Een aanval die bij één werkt, zou geen effect op de andere twaalf hebben. Een aanvaller zou dan ook eerst de aanvallen op alle dertien bedrijven moeten testen, voordat die ze tegelijkertijd kan toepassen. De kans is daardoor groot dat de aanval bij één van deze 'testrondes' wordt opgemerkt.

Anonymous
Een ander obstakel voor de aanvallers is Anycasting. Hierbij wordt verkeer voor een IP-adres naar een andere lokale server doorgestuurd. Eén IP-adres kan zodoende uit meerdere machines bestaan. Daarnaast beschikken de root-servers over "dikke internetverbindingen". Graham stelt dat Anonymous in het ergste geval een aantal root-servers kan ontregelen, maar het onwaarschijnlijk is dat ze allemaal worden uitgeschakeld.

Dat wil niet zeggen dat het internet niet is uit te schakelen. "Ik denk dat ik het kan doen, als ik zes maanden de tijd krijg. Er zijn andere mensen die ik ken en het ook mogelijk kunnen. Als we voor een brainstormsessie zouden samenkomen, weet ik zeker dat we het kunnen doen."

woensdag 22 februari 2012 13:49

Acties:

Gtoniser

https://twitter.com/#!/anonops/status/171942749359181824

Dat lijkt me genoeg gezegd?

woensdag 22 februari 2012 14:00

Acties:

Boudewijn

omdat het kan

Topicstarter

Rukapul schreef op woensdag 22 februari 2012 @ 13:45:
In plaats van ultieme technische maatregelen vooraf om de root servers te beschermen is het handiger om het tuig zelf aan te pakken en dat kan alleen maar door systematisch een grens te trekken en voorbeelden te stellen. Een digitaal SWAT team om ze op te sporen en vervolgens een fysiek ME-team om het ze af te leren.

True, maar soms moe tje helaas ook echt de techniek verdedigen

. Punt is dat zoiets als anonymous (als het al een coherente groep zou zijn) niet 1-2-3 te pakken is... en ook vrij lastig te traceren is als dit via botnets gebeurt.
Ook kan ik me voorstellen dat de autoriteiten in iran/oost-rusland/china/nigeria niet heel efficient werken

.

Even uit het security.nl dingen quotend:

Er zijn echter verschillende redenen waarom de aanval niet meer praktisch is, merkt Graham op. Veel aanvallen slagen omdat het dagen duurt voordat het slachtoffer het door heeft. Dat is niet het geval met de root DNS-servers. Zodra daar iets mee is zullen binnen minuten honderden experts beschikbaar zijn om het probleem op te lossen.

Tsja dus je laat het eerst stuk gaan en dan gaan mensen kijken. Imo niet heel verstandig. Plus, wat wil je nu effectief ad hoc aan een DDOS doen?

Een tweede reden dat het Anonymous het niet zal lukken, is de diversiteit van de 13 root DNS-servers. Die worden door verschillende organisaties met verschillende hardware, software en beleid beheerd. Een aanval die bij één werkt, zou geen effect op de andere twaalf hebben. Een aanvaller zou dan ook eerst de aanvallen op alle dertien bedrijven moeten testen, voordat die ze tegelijkertijd kan toepassen. De kans is daardoor groot dat de aanval bij één van deze 'testrondes' wordt opgemerkt.

Een DDOS heeft eigenlijk maar 1 factor. De bandbreedte van/naar de server. De root-dns zelf zal prima blijven werken, alleen de internetpijp ernaartoe zal volzitten. Diversiteit is hier denk ik dus geen argument.

Een ander obstakel voor de aanvallers is Anycasting. Hierbij wordt verkeer voor een IP-adres naar een andere lokale server doorgestuurd. Eén IP-adres kan zodoende uit meerdere machines bestaan. Daarnaast beschikken de root-servers over "dikke internetverbindingen". Graham stelt dat Anonymous in het ergste geval een aantal root-servers kan ontregelen, maar het onwaarschijnlijk is dat ze allemaal worden uitgeschakeld.

Mja als je die 13 publieke IPs maar weet te verzadigen ben je ver genoeg. Op zich hebben ze idd zeer leuke hoeveelheden bandbreedte, maar een echt groot botnet (multi-miljoenen machines) doet daar denk ik weinig voor onder.

Dat wil niet zeggen dat het internet niet is uit te schakelen. "Ik denk dat ik het kan doen, als ik zes maanden de tijd krijg. Er zijn andere mensen die ik ken en het ook mogelijk kunnen. Als we voor een brainstormsessie zouden samenkomen, weet ik zeker dat we het kunnen doen."

DDOSen is niet zo moeilijk. Exploiten van 13 verschillende DNS servers is lastig, die lijnen ernaartoe volpompen imo niet echt. Zeker niet als je een leuke versterking krijgt omdat je vraag queries factoren kleiner zijn dan je antwoorden.
Buiten dat vrees ik dat er ook meer dan genoeg black hat kennis rondzwerft op de interwebs.

Gtoniser schreef op woensdag 22 februari 2012 @ 13:49:
https://twitter.com/#!/anonops/status/171942749359181824

Dat lijkt me genoeg gezegd?

Nope. Het feit dat anonymous het niet doet betekent niet dat een andere botnetbezitter het niet kan doen

. Effect is hetzelfde, of het nou jantje is of pietje die het botnet aanzwengelt.

[ Voor 4% gewijzigd door Boudewijn op 22-02-2012 14:02 ]

woensdag 22 februari 2012 14:12

Acties:

Verwijderd

Rukapul schreef op woensdag 22 februari 2012 @ 13:45:
In plaats van ultieme technische maatregelen vooraf om de root servers te beschermen is het handiger om het tuig zelf aan te pakken en dat kan alleen maar door systematisch een grens te trekken en voorbeelden te stellen. Een digitaal SWAT team om ze op te sporen en vervolgens een fysiek ME-team om het ze af te leren.

Offtopic:
De acties zijn misschien niet altijd even handig, maar ook niet altijd van anonymous. Het voordeel en nadeel van deze groep is dat er niet te controleren is wie er nou wel of niet bij betrokken is. Aan de andere kant gebruiken ze alle mogelijke middelen die ze hebben om (imo) de gevestigde orde aan te pakken en de mensen wakker te maken. Zelf ben ik een voorstander van de acties en de middelen die ze gebruiken. Ben zelf geen hacker maar de gedachte hierachter kan ik me wel in vinden. Het machtsmisbruik, arrogantie, onschendbaarheid etc. van bedrijven en overheden mag best iets aan gedaan worden, met de middelen die je tot je beschikking hebt. Dus imho moet juist het tuig aan de andere kant aangepakt worden

Ontopic:
Op de anonsite staat niet alleen de melding dat de dns vals is, maar ook dat er binnenkort iets groots komt. Ben benieuwd

donderdag 23 februari 2012 07:05

Acties:

iisschots

Vind dit een interesant topic. Denk dat we deze vooral moeten gebruiken voor een discussie over de techniek achter het geheel en waarom ze het wel/niet gaat lukken. Discussie over Anon zelf zijn andere plekken voor op GoT.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

donderdag 23 februari 2012 07:08

Acties:

Keiichi

Waarom hoor ik niemand erover dat het flink meer dan 13 servers zijn, waarbij veelal anycast toegepast is. Op http://www.root-servers.org/ vind je ze allemaal terug op een kaartje.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

zondag 26 februari 2012 22:57

Acties:

Boudewijn

omdat het kan

Topicstarter

Keiichi schreef op donderdag 23 februari 2012 @ 07:08:
Waarom hoor ik niemand erover dat het flink meer dan 13 servers zijn, waarbij veelal anycast toegepast is. Op http://www.root-servers.org/ vind je ze allemaal terug op een kaartje.

True, dat is wel een heel goed punt.

Als ik die lijst even heel heel snel optel heb je dik 250 servers. Hoe makkelijk is het om dynamisch servers aan die pool toe te voegen, en hoe goed zijn die publieke IPs te DOSen, ik weet te weinig van BGP (of ospf) om dit in te schatten.

Beh te weinig kennis

.

zondag 26 februari 2012 23:18

Acties:

Gomez12

Het probleem qua techniek zal voornamelijk zijn of je de DDOS kan volhouden (en daar geef ik anonymous weinig kans op)

Bij een aanval op de root-servers tref je iedereen die met inet te maken heeft, iedereen gaat dus ook zoeken / filteren.

Voor een aanval op mastercard.com / fbi.gov / scientology.com etc. etc. gaat een KPN en consorten echt niet harder lopen / uitgebreid onderzoek doen om te zien of er iets van hun netwerk afkomt wat ze kunnen filteren zodat de schade beperkt blijft. Bij root-servers (wat ook hun klanten aantast) wordt het een iets ander verhaal.

donderdag 1 maart 2012 03:30

Acties:

LuckY

Wat natuurlijk een interessante angle is om te gebruiken is DNSsec en AXFR requests, de replys hiervan zijn veel groter en hebben dus meer impact, dit wordt ook mooi uitgelegd in een video van Daniel J Bernstein op 27C3 in zijn talk High-speed high-security cryptography: encrypting and authenticating the whole Internet en http://events.ccc.de/cong...rplan/events/4295.en.html hierin laat hij leuke statistieken zien over dns amplification attacks. Hierin staat bijvoorbeeld dat er in 2010 meer dan 2000 DNS servers waren met DNSsec welke de mogelijkheid gaven tot een packet amplification tot 3000% (30x zoveel)

Ik denk echter dat het SANS snel genoeg kan schalen en mogelijke aanvallen kan afwenden aan de hand van verschillende technieken.

donderdag 1 maart 2012 06:48

Acties:

Reptile209

- gers -

Zou de uitgaande verbindingscapaciteit van de gewone DNS-servers - ten opzichte van de top level DNS - niet de bottleneck in dit verhaal zijn? Leuk dat je je packets amplified, maar als de uitgaande lijn van je tussenliggende DNS machine dat niet trekt, ben je ook klaar, of heb je alsnog veel meer doelwitten nodig.

In (voorbeeld) cijfers: gewone DNS heeft een 100 mbit lijn of minder, maar de root servers 1 gbit (per anycast machine). Dan ben je nog wel even bezig... toch?

Zo scherp als een voetbal!

donderdag 1 maart 2012 08:02

Acties:

LuckY

Reptile209 schreef op donderdag 01 maart 2012 @ 06:48:
Zou de uitgaande verbindingscapaciteit van de gewone DNS-servers - ten opzichte van de top level DNS - niet de bottleneck in dit verhaal zijn? Leuk dat je je packets amplified, maar als de uitgaande lijn van je tussenliggende DNS machine dat niet trekt, ben je ook klaar, of heb je alsnog veel meer doelwitten nodig.

In (voorbeeld) cijfers: gewone DNS heeft een 100 mbit lijn of minder, maar de root servers 1 gbit (per anycast machine). Dan ben je nog wel even bezig... toch?

Gelukkig zijn er heel veel DNS servers, hets is een DDoS en geen DoS

Kijk anders alleen de slides als je geen tijd hebt voor de video, (pagina 21)

I sustained 51* amplification
of actual network traffic
in a US-to-Europe experiment
on typical university computers.

Attacker sending 10Mbps
can trigger 500Mbps flood from
the DNSSEC drone pool,
taking down typical site.

Attacker sending 200Mbps
can trigger 10Gbps flood,
taking down very large site.

Want even more: 100Gbps?
Tell people to install DNSSEC!

Het heeft vele factoren, maar ik zie zeker mogelijkheden dat het al een benauwende situatie word

donderdag 29 maart 2012 22:59

Acties:

Boudewijn

omdat het kan

Topicstarter

Grappig dat net gisteren tweakers een aardig artikeltje over DNSSEC publiceerd.
Overmorgen is het 31/3... heeft iemand nog wat van Anonymous mogen vernemen op dit vlak?

Ben benieuwd of er daadwerkelijk wat gebeurt zaterdag.

zaterdag 31 maart 2012 14:16

Acties:

R.H.

Het is nu 14.15 en heb nog geen black out meegemaakt van het internet. Had het wel interessant gevonden als zoiets gelukt was.

zaterdag 31 maart 2012 14:22

Acties:

Boudewijn

omdat het kan

Topicstarter

Idd het is errrrrg rustig momenteel nog.

Geloof er ook niet echt in, maar het zou zeer zeer interessant zijn als het wel was gelukt.
Slechte 1 april grap dus wmb.

zaterdag 31 maart 2012 14:31

Acties:

TrailBlazer

Karnemelk FTW

Ik lees net dat ze het willen doen door het via een onveilige dns server de root dns server te flooden. Een beetje firewall is application aware en zal geen dns replies toestaan die niet initieel zijn geinitieerd door die root dns server. Dat is dus niet op UDP niveau maar echt op applicatie niveau. Hetzelfde als een FTP aware firewall die weet welke poorten er zijn genegotiate in de control sessie voor de datasessie.
Verder zijn het idd anyast ip's deze IP's zullen weer VIP ip's zijn op een loadbalancer waar nog veel meer servers achter kunnen hangen

zaterdag 31 maart 2012 14:42

Acties:

CH4OS

It's a kind of magic

Dat is het hem nou juist: de packages worden gespoofed, alsof ze afkomstig zijn van die root DNS server, dan omzeil je ook de application awareness, zeker als je het goed doet.

Applicatieniveau is OSI-wise een andere laag dan UDP, die lager ligt. Je lijkt de dingen imo door elkaar te halen TrailBlazer.

zaterdag 31 maart 2012 14:57

Acties:

TrailBlazer

Karnemelk FTW

nee hoor helemaal niet. Als een server een vraag doet voor het A record voor www.nu.nl bij dns.provider.nl. Dan kan een firewall bijhouden dat het antwoord wat komt inderdaad van die dns.provider.nl komt plus dat het info bevat voor www.nu.nl en niet met info waar jij nooit om hebt gevraagd.
Het idee is dat er aan een insecure dns server wordt gevraagd. Hallo ik ben root.dns stuur mij eens wat info terug. Dan doet die insecure server dat. Die firewall van root.dns blokt die reply omdat die info nooit gevraagd is. Of het nou wel of niet dezelfde udp sessie is of niet die firewall weet dat er nooit om die info gevraagd is dus dropped die het gewoon.

dinsdag 3 april 2012 11:59

Acties:

Boudewijn

omdat het kan

Topicstarter

Ik kom tot de conclusie dat het dus een fijne hoax was. Of heeft iemand iets gemerkt?

dinsdag 3 april 2012 12:04

Acties:

Hoite

Goed verhaal

Ik heb nergens last van gehad en ik zie ook geen publiciteit hieromtrent, dus ik neig naar een hoax.

Lekker kort.