¿Sobrecarga de tamaño de zona DNS?

1

¿Es posible crear DOS DNS mediante la creación de zonas dns personalizadas con muchos registros de texto de modo que el tamaño de la zona DNS esté en el orden de por ejemplo 100 Gigabyes, y luego consultar todos los registros dns de la zona desde el ¿Internet y, por lo tanto, posiblemente llenando el disco de servidores de almacenamiento en caché de DNS?

Bind9 tiene una directiva de tamaño máximo de caché, pero ¿no es así para todo el servidor y solo la memoria?

    
pregunta Christian 14.03.2014 - 13:33
fuente

1 respuesta

2

Usaré BIND como software de servidor de ejemplo aquí, por la razón obvia.

1) No puede llenar el disco de servidores de almacenamiento en caché de DNS. El caché está en la memoria, no en el disco. La única forma en que el caché va al disco es si el administrador ingresa y realiza un volcado en el disco manualmente (y esa versión volcada no es utilizada por el servidor de caché, solo está ahí para que el administrador realice la depuración).

2) Puede DOS, o al menos afectar el rendimiento de, el almacenamiento en caché de los servidores DNS llenando el caché. Considere esta publicación : concedida, tiene 10 años, pero BIND siempre ha sido notablemente predictivo de BIND.

3) Ni siquiera estoy seguro de que AXFR se almacene en caché, o que los servidores de nombres de caché manejen las consultas de AXFR. Por ejemplo, puede consultar este dominio de ejemplo directamente:

$ dig axfr @ns12.zoneedit.com zonetransfer.me

; <<>> DiG 9.9.3-rpz2+rl.156.01-P2 <<>> axfr @ns12.zoneedit.com zonetransfer.me
; (1 server found)
;; global options: +cmd
zonetransfer.me.        7200    IN      SOA     ns16.zoneedit.com. soacontact.zoneedit.com. 2013064418 2400 360 1209600 300
zonetransfer.me.        7200    IN      NS      ns16.zoneedit.com.
zonetransfer.me.        7200    IN      NS      ns12.zoneedit.com.
zonetransfer.me.        7200    IN      A       217.147.180.162

Sin embargo, no puede hacer lo mismo usando los conocidos servidores de nombres de almacenamiento en caché de BBN como intermediario. Observe cómo falla el AXFR, pero una consulta NS funciona bien:

$ dig axfr @4.2.2.1 zonetransfer.me
;; communications error to 4.2.2.1#53: end of file
$ dig ns @4.2.2.1 zonetransfer.me

; <<>> DiG 9.9.3-rpz2+rl.156.01-P2 <<>> ns @4.2.2.1 zonetransfer.me
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49741
...
;; ANSWER SECTION:
zonetransfer.me.        7200    IN      NS      ns16.zoneedit.com.
zonetransfer.me.        7200    IN      NS      ns12.zoneedit.com.

Dicho esto, no pude encontrar una buena referencia que explicara qué hará o no hará el servidor de almacenamiento en caché de BIND, por lo que es difícil hacer una declaración de barrido.

4) En pocas palabras: Claro, usted podría DOS un servidor DNS, pero no estoy seguro de que su método "AXFR grande" probablemente lo haga. Y cualquier DOS de este tipo sería temporal (en la memoria), no sistémico. Un método más probable sería crear una gran cantidad de registros A con TTL grandes y consultarlos todos individualmente. (Regla # 022 de Gowen: por definición, cualquier servicio es susceptible a la denegación de servicio).

    
respondido por el gowenfawr 14.03.2014 - 14:42
fuente

Lea otras preguntas en las etiquetas