[dns-esp] Fwd: [lacnog] NXNSAttack: Recursive DNS Inefficiencies and Vulnerabilities

Hugo Salgado hsalgado en nic.cl
Mar Mayo 19 16:58:32 -04 2020


Hola Mauricio, gracias por la información.

Eché de menos alguna mención a RRL y al "aggressive" NXDOMAIN
con DNSSEC. El RRL protege a los autoritativos en caso de que
un resolver esté saturándolo con consultas, y el segundo 
protege también al resolver, permitiéndole descartar de
inmediato nombres falsos dentro de un dominio (en caso de
estar firmado). Hubiera sido bueno un análisis de impacto
con esas dos técnicas activas.

De todas formas, nunca está de más agregar limitantes
en los resolvers. Se entiende que se quiera resolver todos
los NS para encontrar el más rápido, pero lamentablemente
habrá que irse con cuidado y quizás dejarlo en procesos
paralelos de "tiempo ocioso". El Max1Fetch me parece
extraño que tenga la misma latencia que Bind clásico, uno
esperaría que el NS más rápido esté en cualquier lugar
de la lista de NS! Quizás tenga que ver con elegir Alexa
1M y el trace de su universidad, que tienen NS bastante
"uniformes"... pero yo esperaría que con NS más
diversos (topológicamente hablando), sí que exista una
diferencia notable.

Hugo

On 12:40 19/05, Mauricio Vergara Ereche via dns-esp wrote:
> Estimados DNS-entusiastas,
> 
> Este mensaje lo mandó Nico en la lista LACNOG y creo que está bien
> interesante para los que operan servidores recursivos por acá...
> 
> Ojo que BIND, Unbound, Knot-Resolver y PowerDNS tienen parches disponibles,
> pero que pueden requerir configuración extra.
> 
> Mi consejo: Aparte de mantener sistemas al día, creo que este es un gran
> momento para auto-recordarnos de mantener y mejorar la visibilidad de qué
> pasa en cada servidor y tener métricas que permitan detectar anomalías como
> éstas.
> 
> Saludos!
> 
> ---------- Forwarded message ---------
> From: Nicolas Antoniello <nantoniello en gmail.com>
> Date: Tue, May 19, 2020 at 12:10 PM
> Subject: [lacnog] NXNSAttack: Recursive DNS Inefficiencies and
> Vulnerabilities
> To: Latin America and Caribbean Region Network Operators Group <
> lacnog en lacnog.org>
> 
> 
> Un paper muy interesante sobre un tipo de ataque de DoS, o pseudo-ataque ya
> que por lo que pude leer hace uso de una funcionalidad de DNS y no de un
> bug, a servidores recursivos de DNS:
> 
> http://www.nxnsattack.com/
> 
> http://www.nxnsattack.com/dns-ns-paper.pdf
> 
> Creo que es interesante de leer y analizar si realmente impacta o no.
> 
> Saludos,
> Nico
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 
> 
> -- 
> Mauricio Vergara Ereche
> about.me/mave

> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: no disponible
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20200519/e6fa45a2/attachment.sig>


Más información sobre la lista de distribución dns-esp