Jacek Zapala wrote:
> On Wed, 2009-01-07 at 22:49 +0000, Piotr KUCHARSKI wrote:
>> Lukasz Trabinski <lukasz@trabinski.nospam.net> wrote:
>> >> Nie nie. Rola serwerow DNS TPSA jest tu bardzo podobna do roli
>> >> serwerow IRC.
>> > Z tą różnicą, że przez serwer DNS nie prześlesz dowolnej treści, a
>> > w szczególności polecenia do botnetu.
>>
>> Jak to nie? Botnet ma zaszyte sprawdzanie co godzinę rekordu TXT
>> co.by.tu.popsuc.jakas.shackowana.domena. -- będą tam podane namiary
>> na DoS-a. Albo SRV, od razu i IP jest, i port, i czas trwania.
>
> OK. Zarażony klient używa DNSa udostępnionego przez TP dla neostradowców
> lub powiedzmy DNSa postawionego przez admina firmy podłączonej łączem od
> TP. Jednak ten serwer DNS musi skontaktować się z serwerem utrzymującym
> "jakas.shackowana.domena". A ten z kolei może już być wycięty
> blackholingiem. I nie różni się to od wycięcia serwera IRCa.
> Nie wiem, czy obecnie stosowane rozwiązanie TP wycina (a więc wcześniej
> bada) również serwery DNS, ale nic nie stoi na przeszkodzie. W końcu
> zapewniali kilkukrotnie, że nie tylko serwery IRC wycinają.
>
Tylko że tego ruchu nie wykryją żadne statystyki - boty nie kontaktują się z
głównym serwerem domeny. A serwer DNS TPSA po prostu pobierze sobie raz na
jakis czas dane z jakas.shackowana.domena i bedzie je udostępniał swoim
klientom. Spełni dokładnie taką samą role jak serwery IRC w aktualnym
modelu. Wypadało by zablokować DNS TPSA...
Polityka TPSA przypomina mi taką sytuację:
Podchodzi gość do budki telefonicznej i dzwoni gdzieś tam informująć że jest
podłożona bomba. Dzielne chłopaki z TPSA szybko namierzają skąd był
wykonany telefon, a następnie jadą i odcinają linie telefoniczną od danej
budki.
Krzysiek Rudnik
Received on Fri Jan 9 20:50:03 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 09 Jan 2009 - 21:40:02 MET