Je eigen IPv6 DDoS-aanval in drie simpele stappen

Transcriptie

1 Je eigen IPv6 DDoS-aanval in drie simpele stappen KPN GHP 20 april 2017 Luuk Hendriks

2 Paper + slides: 0db8.nl (Nul deej beej acht punt en el (enter))

3 Ghp.kpn.nl.? DNS 101 A A. (Root) nl. (TLD) C R A kpn , of 2001:db8::1:2:80 TL;DR: Hostname IP, middels UDP*

4 DNS 102: DDoS Kleine queries met spoofed source IP Grote antwoorden terug naar de source Attacker Open Resolver Target Een open resolver beantwoordt queries van iedereen, en biedt reflection en amplification.

5 V4 vs v6? Application (DNS) Transport (UDP) Network (IPv4) Link Physical Application (DNS) Transport (UDP) Network (IPv6) Link Physical

6 We willen open resolvers op IPv6 vinden, zonder speciale access/hardware/privileges.

7 Hoe kunnen we open resolvers met IPv6-connectiviteit vinden? Scan voor resolvers over IPv4, forceer v6 middels specifieke DNS-configuratie Resolven ze ook over daadwerkelijk IPv6? Test gevonden v6-adres met verificatie-query Hoe effectief zijn deze resolvers? Stuur specifieke queries om caching en amplification te bepalen

8 Hoe kunnen we open resolvers met IPv6-connectiviteit vinden? Scan voor resolvers over IPv4, forceer v6 middels specifieke DNS-configuratie Resolven ze ook over daadwerkelijk IPv6? Test gevonden v6-adres met verificatie-query Hoe effectief zijn deze resolvers? Stuur specifieke queries om caching en amplification te bepalen

9 Stap #1: scannen op v4

10 High-speed scannen met zmap*: - open source! - modulair (bijv. DNS-probe module) - omzeilt netwerkstack (== sneller) Eigen aanpassingen: - geen IP/port check - slik alles dat niet RCODE==5 bevat (Kortom, minder strict dan normaal) *: Zmap.io / (geniet maar scan met mate)

11 Om welke qname queryen we? Zmap DNS-probe default: google.com

12 Stap #2: van v4 naar v6

13 Application (DNS) Transport (UDP) Network (IPv4) Link Physical Application (DNS) Transport (UDP) Network (IPv6) Link Physical

14 Truuk van Luuk (padum-tishh.wav) Application (DNS) Transport (UDP) Network (IPv4) Link Physical Application (DNS) Transport (UDP) Network (IPv6) Link Physical

15 A A v6only NS ns6 ns6 AAAA 2001:db8::53 (geen A glue! ) example.v6only.kpn.nl.? C R A # tcpdump -i any ip6 NB: we zijn geïnteresseerd in IPv6 transport, niet in A vs AAAA records

16 tcpdump ip6 wc -l?

17 Hoe matchen we binnenkomende packets met uitgezonden queries?

18 Het IPv4-adres van de gevonden open resolver gaat simpelweg in de qname: $ip4.$timestamp.v6only.mydomain.net Bijvoorbeeld: v6only.mydomain.net

19 Stap #2.5: wat komt er binnen? (hint: veel rotzooi)

20 Op de controlled authoritative: - listener script (Python / ScaPy) - grote switch op basis van qname $ipv4.$timestamp.v6only.my.net? $ipv4 heeft v6-connectiviteit (adres: $v6_src)!

21 Stap #2.75: v6 connectivity == v6 open resolving?

22 $ipv4.$timestamp.v6only.my.net? `query $ipv4.$timestamp.v6ver.my.net? $ipv4 + $v6_src == open resolver paartje!

23 Measurement setup A A C R A SURFnet: VM 10GbE link (100Kpps) zmap + querythruster UTnet: kantoorbak Listening script (ScaPy) PowerDNS

24 We gebruiken het feit dat we de gehele IPv4 space kunnen scannen, en van IPv4 naar IPv6 kunnen springen via AAAA-only nameserver configuratie.

25 Stap #3: DDoS-tijd!

26 Left as exercise to the reader

27 Intermezzo: ethische overwegingen Hergebruik bestaande scan-resultaten? Niet mogelijk wegens specifieke eisen. ( realtime pipeline, custom zmap) Resultaten zijn niet direct te misbruiken: v6 botnet nodig; we publiceren geen lijst van open resolvers; methode is gestoeld op bestaande technologie. Informatieve qname: utwente.nl ; Informatieve website gehost op scan-machine.

28 In de praktijk... Stap #1: zmap: Hoeveel open resolvers op v4?

29 In de praktijk... Verwacht: ordegrootte 10M Verrassingen: 200M open resolvers? Great Firewall of China? Lesson learned: qname doet er toe! google.com vs utwente.nl

30 In de praktijk... Stap #2 & #2.5, querythruster + ScaPy: Hoeveel met v6-connectiviteit?

31 Getallen! Scan-resultaten: 1.49M unieke paartjes v4+v6 Na de validatie-query: 79K open resolver paartjes (zowel v4 als v6) 1038 unieke IPv6 adrressen 745 hier van zijn infrastructural

32 Adres-analyse 1038 IPv6 adressen verspreid over 216 verschillende AS s: top 10 beslaat 51%. Verspreid, lichte bias naar West-Europa/Azië. De IID van 622 van deze 1038 adressen bestaat volledig uit nullen, op het laatste hextet na: 570 hiervan bevat enkel decimalen (dus geen hex). Hoogstwaarschijnlijk handmatig geconfigureerd! Bijvoorbeeld 2001:db8:20:30::1 2001:db8:20:30::2

33 (Mis)bruikbaarheid: amplification Amplificatie van ANY eu./com. queries naar unieke v6 ORs. Median amplificatie van 50x, top 5% 100x

34 v4 en v6: dezelfde machine? v4 C R A v6 Dual-stack scenario I I C v4 v6 F I A Forwarder + Infrastructural scenario

35 Limitaties van deze methode/studie We kunnen niet een directe vergelijking maken tussen de v4 machine en de v6 machine. Deze methode resulteert (naar alle waarschijnlijkheid) niet in een 100% complete lijst van open resolvers op IPv6.

36 Exclusieve plots! >95%: response over v6 groter dan over v4

37 Exclusieve plots! Logischerwijs, een hogere amplificatie-factor.

38 Conclusies Het vinden van open DNS resolvers op IPv6 is triviaal, op basis van bestaande technologie, zonder speciale hardware, gewoon vanuit huis. Het aantal gevonden open resolvers op IPv6 is niet alarmerend hoog, echter het aandeel infrastructural resolvers (== veel bandbreedte) is groot: Deze resolvers zijn potente aanvalsmiddelen!

39 Je eigen IPv6 DDoS-aanval in drie simpele stappen (nouja bijna dan) Luuk Hendriks