Спасибо, что такое DNS request amplification, думаю, тут слышали почти все. Теперь я хочу таки понять, каким образом подмена IP-адреса в ответах поможет против таких атак. Именно подмена ответного адреса, а не

заворот DNS-запросов, про него вопросов не было.

А кто писал про подмену ? тема: Перехват DNS-запросов к Внешним DNS-серверам Интернет-Провайдером LANET

26 декабря 2015 г., 12:58 пользователь Valentin Nechayev < netch@netch.kiev.ua> написал:

Sat, Dec 26, 2015 at 12:50:44, basil wrote about "Re: [uanog] Перехват DNS-запросов к Внешним DNS-серверам Интернет-Провайдером LANET":

...

А кто писал про подмену ?

Автор треда, в письме.

...

тема: Перехват DNS-запросов к Внешним DNS-серверам Интернет-Провайдером LANET

Вы дальше темы не читали?

Конечно не читал - я вообще предпочитаю отвечать на письмо прочитав только тему. Они не подменяют ответы - они весь трафик по 53-ему порту заворачивают на свой днс, а то, что днс отвечает какую ту хню непонятную - это уже совершенно другой вопрос, и он относится к настройкам самого днс-сервера.

Hello! On Sat, 26 Dec 2015 at 13:26:13 (+0200), Sergey Smitienko wrote:

У меня есть подозрение, что подобные вещи делаются, чтобы отдавать абоненту, у которого на счету деньги кончились, вместо сайтов, страницу "У вас кончились деньги". Хотя конечно это не правильно.

Я тоже сразу подумал в эту сторону. Но beryllium-carbon.la.net.ua на http'у не отзывается. -- George L. Yermulnik [YZ-RIPE]

Извнутри, насколько помню, то же самое... :) т.е. "Я тоже сразу подумал в эту сторону. Но beryllium-carbon.la.net.ua на http'у не отзывается." +1 -- With best regards, Mykola 2015-12-27 2:26 GMT+02:00 Sergey Smitienko :

А ты извнутри сети пробуешь ?

Не только: например еще блокировать доступ к сайтам по постановлению суда, закрывать доступ к торрентам, etc. Вкратце: вместо анализа траффика можно анализировать запросы от пользовательских PC и дальше блокировать/ограничивать/etc Максим

On 26 Dec 2015, at 12:26, Sergey Smitienko wrote:

У меня есть подозрение, что подобные вещи делаются, чтобы отдавать абоненту, у которого на счету деньги кончились, вместо сайтов, страницу "У вас кончились деньги". Хотя конечно это не правильно.

...

...

А кто писал про подмену ? Автор треда, в письме. тема: Перехват DNS-запросов к Внешним DNS-серверам Интернет-Провайдером LANET Вы дальше темы не читали?

Конечно не читал - я вообще предпочитаю отвечать на письмо прочитав только тему. Они не подменяют ответы - они весь трафик по 53-ему порту заворачивают на свой днс, а то, что днс отвечает какую ту хню непонятную - это уже совершенно другой вопрос, и он относится к настройкам самого днс-сервера.

Тут такое дело... Публичные NS-ы Гугла не всё ресолвят по-своему. Публичные NS-ы Яндекса тоже не всё ресолвят, но иначе, чем Гугловские. Прямые запросы с IP-адреса NS-а провайдера тоже не всё ресолвят и тоже по-своему, иначе чем вышеперечисленные. Я думаю, поэтому провайдер и принуждает пользоваться строго своими NS-ами, поскольку в состоянии настроить их так, чтобы комбинировать всё вышеперечисленное и чтобы ресолвилось в результате всё. Проверено на практике: юзера, которые сами себе вручную прописывают что попало, ловят потом трудно объяснимые глюки и напрягают этим саппорт. Так шта... Но принуждать, конечно, незаконно. По идее нужно сделать как с 25-м портом на выход: по умолчанию запрещено, но по запросу юзера открываем без вопросов. Так и тут - по умолчанию принудительно NS провайдера, но кому надо - выпускать наружу без лишних вопросов, можно галочку в личном кабинете завести, например. 28.12.2015 21:32, Mykola Ulianytskyi пишет:

Продолжение сказки новогодней - в личном кабинете вылезла новость:

--------------------------------------------------------------------------------------------------------------------------------------------------------------------- ТЕМА: Необходимо выполнить актуализацию настроек сетевого подключения

Просим обратить внимание, что на данный момент в ваших сетевых настройках используются устаревшие IP-адреса DNS серверов, которые в ближайшее время прекратят свою работу. В связи с этим может возникнуть проблема с доступом в сеть Интернет.

Рекомендуем включить получение IP-адреса и DNS-сервера в автоматическом режиме, это позволит всегда поддерживать актуальную конфигурацию подключения к сети.

--------------------------------------------------------------------------------------------------------------------------------------------------------------------- Мной в личных целях, как и многими из нас, используются Google Public DNS-серверы: 8.8.8.8 и 8.8.4.4

Т.е. провайдер, получается, хочет заставить всех своих абонентов использовать только свои DNS-серверы, и без вариантов. Имхо, к успеху идут...

В общем написал письмо в саппорт - запасаюсь поп-корном.

-- With best regards, Mykola

-- Best regards, Alexandr B. Baryshnyev, e-mail: abb@abbon.net

Как писал выше - отправил письменную телегу в саппорт. Ответ - перехват отключили. Задно кнопку добавли в личный кабинет для самостоятельного отключения - видать счастливые абоненты мозг вынесли. Вот такая веселая новогодняя история о том, как придумал провайдер себе и абонентам на ровном месте геморрой, на который дежурный саппорт с дежурным админом ничем не могли помочь на момент обращения. -- With best regards, Mykola 2015-12-28 22:47 GMT+02:00 Vasiliy P. Melnik :

...

Но принуждать, конечно, незаконно. По идее нужно сделать как с 25-м портом на выход: по умолчанию запрещено, но по запросу юзера открываем без вопросов. Так и тут - по умолчанию принудительно NS провайдера, но кому надо - выпускать наружу без лишних вопросов, можно галочку в личном кабинете завести, например.

вот и узнаем, насколько в ланете адекватные админы - опять же повторюсь, лично я даже поддерживаю данное начинание, так же как и согласен с тем, что это самодеятельность, но должен перехват отключаться по запросу юзера

Hi! Странные они чесслово. По эту сторону океана нынче небольшие провайдеры наоборот своим абонентам по DHCP DNS Гугла выдают, и не парятся... В железках Meraki опять-же ГуглоDNS по-умолчанию, да и в SOHO-пасочках во многих. 2015-12-28 14:32 GMT-05:00 Mykola Ulianytskyi :

Продолжение сказки новогодней - в личном кабинете вылезла новость:

--------------------------------------------------------------------------------------------------------------------------------------------------------------------- ТЕМА: Необходимо выполнить актуализацию настроек сетевого подключения

Просим обратить внимание, что на данный момент в ваших сетевых настройках используются устаревшие IP-адреса DNS серверов, которые в ближайшее время прекратят свою работу. В связи с этим может возникнуть проблема с доступом в сеть Интернет.

Рекомендуем включить получение IP-адреса и DNS-сервера в автоматическом режиме, это позволит всегда поддерживать актуальную конфигурацию подключения к сети.

--------------------------------------------------------------------------------------------------------------------------------------------------------------------- Мной в личных целях, как и многими из нас, используются Google Public DNS-серверы: 8.8.8.8 и 8.8.4.4

Т.е. провайдер, получается, хочет заставить всех своих абонентов использовать только свои DNS-серверы, и без вариантов. Имхо, к успеху идут...

В общем написал письмо в саппорт - запасаюсь поп-корном.

-- With best regards, Mykola

-- Regards, Nick Naimushyn

У нас уже появился свой Роскомпозор? Я что-то пропустил опять? On 27.12.15 17:34, Maksym Tulyuk wrote:

Не только: например еще блокировать доступ к сайтам по постановлению суда, закрывать доступ к торрентам, etc.

Вкратце: вместо анализа траффика можно анализировать запросы от пользовательских PC и дальше блокировать/ограничивать/etc

Максим

...

On 26 Dec 2015, at 12:26, Sergey Smitienko mailto:hunter@comsys.com.ua> wrote:

У меня есть подозрение, что подобные вещи делаются, чтобы отдавать абоненту, у которого на счету деньги кончились, вместо сайтов, страницу "У вас кончились деньги". Хотя конечно это не правильно.

...

> А кто писал про подмену ? Автор треда, в письме. > тема: Перехват DNS-запросов к Внешним DNS-серверам Интернет-Провайдером > LANET Вы дальше темы не читали?

Конечно не читал - я вообще предпочитаю отвечать на письмо прочитав только тему. Они не подменяют ответы - они весь трафик по 53-ему порту заворачивают на свой днс, а то, что днс отвечает какую ту хню непонятную - это уже совершенно другой вопрос, и он относится к настройкам самого днс-сервера.