Две недели назад исследователь Дэн Каминский (Dan Kaminsky) обнаружил (http://www.opennet.me/opennews/art.shtml?num=16872) метод помещения не соответствующих реальности данных в кэш DNS сервера. Теоретическая возможность такой атаки (http://www.kb.cert.org/vuls/id/800113), вызванной недостаточным размером поля с идентификационным номером запроса (query id) в DNS пакете, была предсказана ранее, но до сих пор относилась к разряду труднореализуемых на практике. Рабочий код с демонстрацией подмены доменного имени и полное описание новой техники DNS спуффинга планировалось опубликовать на конференции "Black Hat", которая состоится 7 августа, дав администраторам время на обновление программного обеспечения.
Воодушевленные анонсом о наличии уязвимости, участники группы Computer Academic Underground (http://www.caughq.org/) самостоятельно разработали (http://blogs.zdnet.com/security/?p=1545) эксплоит для данного вида атак, который представлен для свободной загрузки (http://www.caughq.org/e...URL: http://blogs.zdnet.com/security/?p=1545
Новость: http://www.opennet.me/opennews/art.shtml?num=17101
Утечка))) ох уж эта информационная безопасность
http://blog.invisibledenizen.org/2008/07/kaminskys-dns-issue...
Vendor Status Date Updated
djbdns Not Vulnerable 10-Jul-2008все что меня интересовало
А с djbdns можно организовать динамический dns?
Слава Богу - нет.
Ну и куда он уперся тогда? :)
Впрочем все творения этого автора имеют такую же карму - они безопастны потому что нибубени не делают :)
>они безопастны
>потому что нибубени не делают :)Не, не так. Софт от djb отлично делает то, для чего он предназначен, но не более.
>Не, не так. Софт от djb отлично делает то, для чего он
>предназначен, но не более.Угу.. вот только с IPv6 там как-то уныло.И когда его начнут юзать массово (а это кажется уже скоро) - что тогда?Ну да, с кучей танцев с бубном можно патчи применить.Получив какой-то совсем базовый функционал (я так понял что только AAAA записи, никаких MX и прочая не полагается).
>Угу.. вот только с IPv6 там как-то унылоНе предназначен ;)
>Слава Богу - нет.Кому слава а кому клава.Мне вот например динамический DNS нужен позарез.Не все айпи нынче статические а закладываться на сторонние сервисы как-то неохота.Свой днс обладает предсказуемостью, а что там "дяденьки" сделают завтра - хрен бы его знает.
Итого вопрос: а есть небольшой и секурный DNS сервер чтобы не жрал вагон ресурсов, умел IPv6 (желательно и DNSSEC и TSIG на будущее), не был бы прорехой в безопасности как бинд, умел хоть какой-нибудь dynamic dns (cекурно) и т.п.?
А то djbdns смотрел.Ну да, несколько лет назад был хороший выбор.Секурный, небольшой, ничего лишнего. Но. Автор на него походу забил.А вот IPv6 - будет.И даже довольно скоро.И там он как я понял мягко говоря, через ж*у (сторонний патч с вагоном issues внагрузку).DNSSEC и даже просто TSIG нет и как я понимаю и не будет.Такими темпами есть опасение что через несколько лет оно станет сугубо артефактом который отправится на свалку истории, может быть и непобежденным.Это конечно, почетно, но осваивать то что умрет в обозримом будущем - нелогично.Есть ли достойные альтернативы?Форки?Или что?
BIND не понравился.Монструозный, навернутый, секурность у него хромая что предсказуемо.Да еще по дефолту зачем-то кучу процессов форкает.Прям апач какой-то а не днс сервер.А заменить его реально?Чтобы не было головняка хотя бы с dynamic dns и IPv6?
>заменить его реально?Чтобы не было головняка хотя бы с dynamic dns
>и IPv6?Мог бы порекомендовать связку Unbound + NSD, но там тоже (пока?) нет DDNS в Unbound и view'ов в NSD. В остальном (IPv6, DNSSEC, TSIG, etc) все как полагается, а еще мало ресурсов жрет и секюрно. Сам перешел на использование Unbound + NSD вместо djbdns (tinydns + dnscache) ибо функционал устраевает.
>>заменить его реально?Чтобы не было головняка хотя бы с dynamic dns
>>и IPv6?
>
>Мог бы порекомендовать связку Unbound + NSD, но там тоже (пока?) нет
>DDNS в Unbound и view'ов в NSD. В остальном (IPv6, DNSSEC,
>TSIG, etc) все как полагается, а еще мало ресурсов жрет и
>секюрно. Сам перешел на использование Unbound + NSD вместо djbdns (tinydns
>+ dnscache) ибо функционал устраевает.Автор Unbound DDNS делать не будет. Но Unbound модульный. Можно сделать модуль и прикрутить его. Я сделал один для своих целей. Автор без проблем отвечает на вопросы.
Что Вы имеете в виду под динамическим днс ?
Во первых, у djbdns для рекурсивного кеширующего резолвера один сервер, а для обычного обслуживания зон - другой.
Во вторых - если под динамическим подразумевается зависимость ответа от IP запрашивающего - то умеет.
Зависимость от IP это view'ы - это есть. Кму надо DynDNS (?)
Сори, теперь вспомнил, это там где динамический DHCP работает иногда пользуют и динамический днс.
Согласен, редко кому нужен, но найдутся же любители похаять все и вся, лишь бы повод был..
>Сори, теперь вспомнил, это там где динамический DHCP работает иногда пользуют и
>динамический днс.DHCP это одно, динамический днс несколько другое.Мало кому нужен?Расскажите ка это миллионам юзеров no-ip.com или dyndns.org
Лично у меня не было такой цели, когда задавал вопрос, =похаять все и вся=. Но разговор получился интересным, да.Так вот. Не хватая с неба звезд (и не вспоминая, потому что DDNS на BIND'e настроен давным-давно), нашел в Википедии:
=
Динамический DNS — это технология, позволяющая информации на DNS-сервере обновляться в реальном времени, и (по желанию) в автоматическом режиме. Она применяется для назначения постоянного доменного имени компьютеру с изменяемым IP-адресом. Это может быть IP-адрес, полученный по DHCP или по IPCP в PPP-соединениях (например, при удаленном доступе через модем). Другие машины в Интернете могут устанавливать соединение с этой машиной по доменному имени и даже не знать, что IP-адрес изменился.
=Вот это - умеет djdns?
Если не умеет, то мне - нинада, но это не значит, конечно, что нинада всем - задачи разные у всех. А мне не интересно в локальной сети давать статические ip-адреса, и не интересно привязывать по MAC-адресу имена, и влом вписывать в DNS скачущих из подсети в подсеть юзеров. Мб есть более лучшее решение, чем динамическая раздача имен, в условиях миграции пользователей? Буду рад почитать.
Если умеет, то буду смотреть.
>Зависимость от IP это view'ы - это есть.Еще это иногда называют split horizon или как-то так.И к dynamic dns это никак не относится.
> Кму надо DynDNS (?)
Мне например надо.Это удобно.Когда имя хоста однозначно указывает на конкретную машину (IP которой вовсе не обязан быть статичным, ибо есть DHCP или линки на которых IP выдаются провайдерами динамически) - это хорошо, удобно и правильно.Без dynamic dns в такой ситуации имя хоста может начать показывать пальцем в небо, а то и на оказавшийся с этим айпишником чужой хост.А вот это нехорошо уже.
Там ошибка закралась - не "Кму надо DynDNS (?)" а "Ему надо DynDNS (?)" - пишу с клавы без русских букв и часто ошибаюсь...Я не спорю, что оно полезно и удобно.
>Во вторых - если под динамическим подразумевается зависимость ответа от IP запрашивающего
>- то умеет.Динамический dns как правило означает возможность обновлять айпи адрес на который показывает имя хоста за короткий срок (удобно чтобы имя показывало на конкретную машину даже если IP у нее меняется) а то и динамически создавать новые записи (для например LAN актуально).
А на каком языке эксплоит?
>А на каком языке эксплоит?Ruby
Кто-нить скажет, как залатать bind?
>Кто-нить скажет, как залатать bind?поставить новую версию, естественно.
То есть в текущей версии проблема не воспроизводится?
Написано же 9.5.0-P1, 9.4.2-P1, 9.3.5-P1. Что ещё за текущая версия?
>Написано же 9.5.0-P1, 9.4.2-P1, 9.3.5-P1. Что ещё за текущая версия?В текущем треде ничего такого не написано. На офсайте бинда я тоже такой инфы не нашёл. Когда утверждаете что что-то где-то написано, давайте, пожалуйста ссылку.
В новости написано, глаза разуй.
>В новости написано, глаза разуй.ЧОРТ! =)) Я новость смотрел в сокращённом виде. Извиняюсь.
проверил, работает ! :)
>проверил, работает ! :)Проверил, не запустилось :(
поставил Ruby, metasploit v3.2-release из снапшота.
В корне msf3 создал
modules/auxiliary/spoof/dns/bailiwicked_host.rb с указанным в тексте письма содержимым.
При старте msfconsole указывает на один экспл. больше чем при первоначальном запуске.
Однакоmsf > use auxiliary/spoof/dns/bailiwicked_host
[-] Failed to load module: auxiliary/spoof/dns/bailiwicked_hostГде могут быть грабли? Первый раз пробую msf. Или модуль ему как-то не так оформил..
Скопировано было все отrequire 'msf/core'
require 'net/dns'до
end
end
тянуть надо метасплоит из свн ихнего. Модуль этот туда копировать не надо - он уже в свн лежит.