<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 26, 2018 at 11:45 AM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@cypherpunks.ca" target="_blank">paul@cypherpunks.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, 25 Apr 2018, Eduardo Duarte wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I have seen discussions about the problem that happen last Tuesday in several blogs and lists but none in this list.<br>
Some examples of the discussion are the 2 following (no special affiliation with none, just the last 2 post that I<br>
read)<br>
<a href="https://blogs.oracle.com/internetintelligence/bgp-hijack-of-amazon-dns-to-steal-crypto-currency" rel="noreferrer" target="_blank">https://blogs.oracle.com/inter<wbr>netintelligence/bgp-hijack-of-<wbr>amazon-dns-to-steal-crypto-<wbr>currency</a><br>
<a href="https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/" rel="noreferrer" target="_blank">https://blog.cloudflare.com/bg<wbr>p-leaks-and-crypto-currencies/</a><br>
<br>
So what does the persons on the list think? Is this the event that DNSSEC (and RPKI) need to start to be more<br>
mainstream?<br>
</blockquote>
<br></span>
While I'm the first to say dnssec would have helped, in this case that<br>
is only true because of the nature of the attack.<br>
<br>
I am still confused why this attack took over the DNS IP ranges via BGP<br>
instead of just targetting the webserver IP range itself. If the<br>
webserver IP range was hijacked, no DNS lying was required to get people<br>
to end up on the rogue webserver. Perhaps the attackers thought they<br>
could prolong their attack with DNS TTL's more then keep the hijacked<br>
web IP address range under their BGP control?<br><br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">​I have been thinking about that. The answer is probably that it is much easier to replace the DNS server than the web sites it points to. The attackers were trying to target their attack on the one site so as to limit the fallout.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">AWS may be doing anycast on their DNS which would mean it is in a different address block and the appearance of an alternative route is less surprising to operators. ​</div></div><br></div></div>