[afnog] Open Recursive Nameservers

Stephane Bortzmeyer bortzmeyer at nic.fr
Wed Mar 29 13:01:46 EAT 2006 

AFNIC just issued the attached warning to its registrars, trying to
raise awareness about this security issue. You are welcome to reuse
it, modify it, comment it or flame it :-)
-------------- next part --------------
Vous l'avez peut-?tre vu dans la presse, les attaques par d?ni de
service utilisant des serveurs DNS pour l'amplification sont en
brusque augmentation.

Ces attaques ont en commun d'utiliser des serveurs DNS r?cursifs
ouverts. Un serveur DNS r?cursif est dit ouvert lorsqu'il r?pond ? des
requ?tes du monde entier (et pas seulement de son r?seau local, comme
il devrait le faire). Il peut alors servir de relais pour l'attaque
par d?ni de service, engageant ainsi potentiellement la responsabilit?
de son administrateur. La r?ponse DNS ?tant typiquement plus grosse
que la requ?te, il y a amplification de l'attaque, permettant ?
l'attaquant d'?conomiser sa bande passante.

L'AFNIC tient ? attirer l'attention de tous ses membres sur le danger
que repr?sentent les serveurs DNS r?cursifs ouverts. Ils ont peu
d'usages l?gitimes alors que leur r?le dans les attaques actuelles en
fait une menace pour tout l'Internet. L'AFNIC recommande fortement la
fermeture de ces serveurs ouverts, selon les m?thodes expos?es dans
les r?f?rences. Par exemple, pour le serveur DNS BIND, l'usage de
"recursion no" est demand?. Pour le service r?cursif ? destination du
r?seau local (et des clients, pour un FAI), il faut utiliser une
deuxi?me machine ou bien un deuxi?me d?mon sur la m?me machine ou
encore les vues de BIND 9.

Vous pouvez naturellement demander d?tails ou aide ? l'AFNIC
<hostmaster at nic.fr>.

L'AFNIC, ainsi que les autres registres de TLD, poursuit la r?flexion
quant aux autres mesures ? adopter contre ce risque. Une des
possibilit?s discut?es est le refus de servir les requ?tes des
serveurs DNS r?cursifs ouverts. Pour l'instant, les ?tudes montrent
qu'une part importante de serveurs de noms sur le r?seau sont des
r?cursifs ouverts, ce qui m?rite notre attention collective et devrait
faire l'objet de mesures correctives de la part des gestionnaires de
serveurs de noms.


R?f?rences :

Securing an Internet Name Server
http://www.cert.org/archive/pdf/dns.pdf. Une tr?s bonne synth?se
pratique pour l'administrateur syst?me.

DNS Amplification attacks
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf. Une bonne
description des attaques actuelles.

The Continuing Denial of Service Threat Posed by DNS Recursion
http://www.us-cert.gov/reading_room/DNS-recursion121605.pdf. L'avis du
CERT ?tats-unien.

Stop abusing my computer in DDOSes, thanks
http://weblog.barnet.com.au/edwin/cat_networking.html. Une description
du premier cas connu de cette attaque, connu sous le nom de
"x.p.ctrc.cc".

[En fran?ais] Il est recommand? de fermer les serveurs DNS r?cursifs
ouverts
http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html. Inclus
une description d?taill?e de l'attaque.
-------------- next part --------------
As you have perhaps noticed in the media, denial-of-service (DoS)
attacks using DNS servers to get an amplification of the attack are
currently becoming more common.

These attacks all use ORNs, Open Recursive Nameservers. A recursive
DNS nameserver is "open" when it accepts to reply, not only to its
local network (as it should) but also to the whole world. It can
therefore be used as a proxy for the DoS attack. Being part of the
attack, it can engages the responsability of his administrator. Since
a DNS reply is typically larger than the request, the attack is
amplified, so the bad guy can save his bandwidth.

AFNIC wants to remind all its members that ORNs are a danger for the
whole Internet. These ORNs have few legitimate uses. AFNIC strongly
recommends to stop the ORNs, following the techniques described in the
references. For instance, for the BIND program, using "recursion no"
is recommended. For the legitimate recursive service towards the local
network (and towards the clients if you are an access provider), you
need to use a second machine, or a second daemon or even the views of
BIND 9.

Of course, you can ask AFNIC for help or advices <hostmaster at nic.fr>.

AFNIC, together with other TLD registries, pursues its reflection
about this vulnerability and the best ways to counter it. One of the
possible ways is to stop serving the DNS requests from ORNs. At the
present time, surveys show that an important part of the nameservers
on the Internet are ORNs, which should call for our attention and for
action by the system administrators.


References :

Securing an Internet Name Server
http://www.cert.org/archive/pdf/dns.pdf. A very good practical
synthesis for the system administrator.

DNS Amplification attacks
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf. A good
description of the current attacks.

The Continuing Denial of Service Threat Posed by DNS Recursion
http://www.us-cert.gov/reading_room/DNS-recursion121605.pdf. Official
advice from the USAn CERT.

Stop abusing my computer in DDOSes, thanks
http://weblog.barnet.com.au/edwin/cat_networking.html. A description
of the first known case, known as "x.p.ctrc.cc".

More information about the afnog mailing list