
<div dir="ltr">I don't think there's any requirement to fragment exactly at the MTU/MSS boundary. It's ok to fragment at a lower point, so there's an opportunity for additional entropy by randomising the point of fragmentation on a datagram by datagram basis. If the spoofer doesn't know the point of fragmentation then it's hard for the payload to make sense.  It'd be interesting to work out what the total entropy is by using that along with truly random IP IDs. It also seems prudent for clients to validate that the IP TTL of all fragments in a datagram are the same.<br>

<br>Neither of those mitigations are easy for everyone, but they may be helpful for some. Obviously there's TC=1 too. <br><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Sep 4, 2013 at 6:08 AM, Ondřej Surý <span dir="ltr"><<a href="mailto:ondrej.sury@nic.cz" target="_blank">ondrej.sury@nic.cz</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all,<br>

<br>

for all those who haven't been on saag WG at IETF 88...<br>

<br>

Amir Herzbert and Haya Shulman has presented a quite interesting attack on UDP fragmentation that allows Kaminsky-style attacks to be real again.<br>

<br>

The saag presentation is here: <a href="http://www.ietf.org/proceedings/87/slides/slides-87-saag-3.pdf" target="_blank">http://www.ietf.org/proceedings/87/slides/slides-87-saag-3.pdf</a><br>

<br>

The paper describing the attack is here:<br>

<a href="http://arxiv.org/pdf/1205.4011v1.pdf" target="_blank">http://arxiv.org/pdf/1205.4011v1.pdf</a><br>

<br>

More Haya Shulman's publications can be found here:<br>

<a href="https://sites.google.com/site/hayashulman/publications" target="_blank">https://sites.google.com/site/hayashulman/publications</a><br>

<br>

And some papers are also available from Google Scholar:<br>

<a href="http://scholar.google.com/scholar?hl=en&q=Amir+Herzberg%2C+Haya+Shulman+++dnssec&btnG=&as_sdt=1%2C5&as_sdtp=" target="_blank">http://scholar.google.com/scholar?hl=en&q=Amir+Herzberg%2C+Haya+Shulman+++dnssec&btnG=&as_sdt=1%2C5&as_sdtp=</a><br>


<br>

We gave it some thoughts here at CZ.NIC Labs and we think that the threat is real and we are now trying to write a PoC code to prove the theoretical concept.<br>

<br>

So what are the views of other people on this list?<br>

<br>

Ondrej<br>

--<br>

 Ondřej Surý -- Chief Science Officer<br>

 -------------------------------------------<br>

 CZ.NIC, z.s.p.o.    --    Laboratoře CZ.NIC<br>

 Americka 23, 120 00 Praha 2, Czech Republic<br>

 mailto:<a href="mailto:ondrej.sury@nic.cz">ondrej.sury@nic.cz</a>    <a href="http://nic.cz/" target="_blank">http://nic.cz/</a><br>

 tel:<a href="tel:%2B420.222745110" value="+420222745110">+420.222745110</a>       fax:<a href="tel:%2B420.222745112" value="+420222745112">+420.222745112</a><br>

 -------------------------------------------<br>

<br>

<br>_______________________________________________<br>

dns-operations mailing list<br>

<a href="mailto:dns-operations@lists.dns-oarc.net">dns-operations@lists.dns-oarc.net</a><br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations

dns-jobs" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>

dns-jobs</a> mailing list<br>

<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Colm

</div>