<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Jan 19, 2015 at 8:30 AM, David Dagon <span dir="ltr"><<a href="mailto:dagon@sudo.sh" target="_blank">dagon@sudo.sh</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sun, Jan 18, 2015 at 11:28:44AM +0100, Stephane Bortzmeyer wrote:<br>
> On <<a href="http://www.spiegel.de/media/media-35658.pdf" target="_blank">http://www.spiegel.de/media/media-35658.pdf</a>> p. 9 (NSA slides,<br>
> leaked to the press), the DNS resolution process is strange, as if<br>
> recursion, instead of iteration, were used by all DNS servers of the<br>
> world, including the root name servers. Too much haste in using<br>
> PowerPoint? Ignorance? Deliberate attempt to obfuscate the issue?<br>
><br>
> I'm trying to find out if this NSA attack is a good use case for<br>
> DNSSEC.<br>
<br>
</span>I believe you're asking the question: Would DNSSEC create 'no-go<br>
zones' for certain types of attacks?  (Apologies for the pun. :)<br>
<br>
Absent some other unknown attack, real-time spoofing attacks require<br>
pre-Kaminsky resolution logic (no SPR, no 0x20, perhaps even lack of<br>
RFC 2181 handling logic, or misplaced reliance on djb dnscache, which<br>
is readily poisonable, etc.)<br></blockquote><div><br></div><div>I think the NSA attacks are on-path so none of these changes help.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
>From my own sinkhole authority resolvers, some 10-15% of recursives<br>
still don't appear to do SPR, (or equivalently have their SPR<br>
flattened out by CGN equipment).  I suspect they are trivially<br>
vulnerable to a variety of off-path attacks.</blockquote></div></div><div class="gmail_extra"><br></div><div class="gmail_extra">Any thoughts on what fraction of users are behind those recursives?  If they're all serving only small organizations it may not be so bad.  But if they're places like Comcast....</div><div class="gmail_extra"><br></div><div class="gmail_extra">Damian</div></div>