<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


That claim against having "[injected] spoofed content into the DNS<br>response (despite the use of Eastlake cookies for protection)" is false<br>unless that attack was against DNS clients and servers using DNS<br>


cookies, and not merely the cookies described in<br><a href="https://tools.ietf.org/html/draft-eastlake-dnsext-cookies-03" target="_blank">https://tools.ietf.org/html/draft-eastlake-dnsext-cookies-03<br></a>but cookies in an as-yet unpublished proposal with a payload checksum.<br>


Note that I thought that there are no available implementations even<br>of original flavor cookies.</blockquote><div><br></div><div><br></div><div>You may have missed the beginning of that discussion... Paul Vixie already suggested to add a CRC to protect against our fragmentation attacks, as well as the new attack idea that I proposed earlier in this thread, fyi:</div>


<div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="color:rgb(80,0,80);font-family:arial,sans-serif;font-size:12.727272033691406px">i expect that in consideration of your fragmentation work, he will add a 32-bit CRC covering the full message to the EDNS option that contains the cookie.</span></blockquote>


<div><br></div><div><br></div><div>In any case, it is great that you also agree that the published proposal may be vulnerable and propose to use checksum to prevent those attacks.</div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Sat, Oct 26, 2013 at 12:12 PM, Haya Shulman <span dir="ltr"><<a href="mailto:haya.shulman@gmail.com" target="_blank">haya.shulman@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">



No number of hosts sending packets can exceed 25,000 500 Byte packets<br>to a single 100 MHz 802.3 host. In fact, 802.3 preamble, headers, CRC,<br>and IFG limit the 500 Byte packet rate to below 25K pps.  However,<br>multiple attacking hosts could cause excessive link-layer contention<br>



(nothing to do with host or host network interface "interrupts" or<br>"buffers") and so packet losses in either or both directions for<br>legitimate DNS traffic and so the reported effects.</blockquote>



<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Without data such as packet counts from standard tools such as `netstat`,<br>



my bet is what I said before, that the application fell behind, its socket<br>buffer overflowed, and the results were as seen.  However, I would not<br>bet too much, because there are many other places where the DNS requests<br>



or responses could have been lost including:<br>  - intentional rate limiting in the DNS server, perhaps even RRL<br>  - intentional rate limiting in the kernel such as iptables<br>  - intentional rate limiting in a bridge ("hub") in the path<br>



  - unintentional link layer rate limiting due to contention for<br>     bridge buffers or wires.  At full speed from the attacking systems,<br>     unrelated cross traffic through hubs in the path or on the wires<br>     to DNS server would cause packet losses including losses of valid <br>



<span>     answers and so timeouts and so the observed effect.</span></blockquote><div> </div><div>No iptables rules were set; no RRL was applied (when sending bursts to incorrect/closed port - legitimate responses arrived ok). </div>



</div><div class="gmail_extra"><div><br></div><div><div class="gmail_default" style="font-family:tahoma,sans-serif">There are these measurments that studied loss due to traffic volume, and they found that Kernel loss occurs at above 100-150 Kpps (packets per second), with 64 byte packets. One of these works, in addition to measuring loss in kernel, also measured performance of snort under heavy load, and found loss could occur above 100KB. </div>



<div class="gmail_default" style="font-family:tahoma,sans-serif"><a href="http://www.sciencedirect.com/science/article/pii/S143484110600063X" target="_blank">http://www.sciencedirect.com/science/article/pii/S143484110600063X</a><br>


</div>
<div class="gmail_default" style="font-family:tahoma,sans-serif"><a href="http://www.sciencedirect.com/science/article/pii/S1084804509001040" target="_blank">http://www.sciencedirect.com/science/article/pii/S1084804509001040</a><br>


</div>
<div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">Two significant differences between our and their setting is that they used only a single host that generated the traffic, and the traffic consisted of 64  Byte packets (we used 500Byte packets).</div>



<div class="gmail_default" style="font-family:tahoma,sans-serif">In any case, I am curious as to wether the loss occured in DNS software and if increasing the buffers in DNS software can mitigate the problem (I'll run it again to confirm).</div>



<div class="gmail_default" style="font-family:tahoma,sans-serif">Thanks.</div><br></div><div><div><br></div>-- <br><div dir="ltr"><p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Best Regards,</span></font></p>



<p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Haya Shulman</span></font></p><p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Technische Universität Darmstadt</span></font></p>



<p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">FB Informatik/EC SPRIDE</span></font></p><p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Mornewegstr. 30</span></font></p>



<p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">64293 Darmstadt</span></font></p><p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Tel. <a href="tel:%2B49%206151%2016-75540" value="+4961511675540" target="_blank">+49 6151 16-75540</a></span></font></p>



<p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px"><a href="http://www.ec-spride.de" target="_blank">www.ec-spride.de</a></span></font></p></div>




</div></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Best Regards,</span></font></p>


<p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Haya Shulman</span></font></p><p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Technische Universität Darmstadt</span></font></p>


<p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">FB Informatik/EC SPRIDE</span></font></p><p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Mornewegstr. 30</span></font></p>


<p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">64293 Darmstadt</span></font></p><p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px">Tel. <a href="tel:%2B49%206151%2016-75540" value="+4961511675540" target="_blank">+49 6151 16-75540</a></span></font></p>


<p style="margin:0cm 0cm 0.0001pt"><font color="#000000" face="Calibri, sans-serif"><span style="font-size:14.545454025268555px"><a href="http://www.ec-spride.de" target="_blank">www.ec-spride.de</a></span></font></p></div>



</div></div>