URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 43277
[ Назад ]

Исходное сообщение
"OpenNews: Атака на последние версии DNS сервера BIND"

Отправлено opennews , 09-Авг-08 23:35 
Евгений Поляков обнаружил (http://tservice.net.ru/~s0mbre/blog//devel/networking/dns) возможность осуществления подстановки данных в кэш DNS сервера BIND последней версии (9.5.0-P2, 9.4.2-P2 и 9.3.5-P2), содержащей исправления для защиты от подобной атаки методом Каминского (http://www.opennet.me/opennews/art.shtml?num=17101).


Механизм случайного распределения номеров сетевых портов, используемый в последних версиях BIND для компенсации недостаточно большого размера поля с идентификационным номером запроса в DNS пакете теоретически растягивал время успешной атаки с нескольких минут до недели (16 битам query id + 64 тыс. портов). Евгению удалось добиться успешного проведения атаки на новые версии BIND приблизительно за 10 часов, при атаке с двух машин, имеющих доступ по гигабитному линку к DNS серверу (на практике такая атака может быть проведена с затрояненной машины в одной локальной сети с DNS сервером). Для успешного подбора номера порта и идентификатора пакета потребовалось отп...

URL: http://tservice.net.ru/~s0mbre/blog//devel/networking/dns
Новость: http://www.opennet.me/opennews/art.shtml?num=17337


Содержание

Сообщения в этом обсуждении
"Атака на последние версии DNS сервера BIND"
Отправлено prapor , 09-Авг-08 23:35 
Дайте две...

"Атака на последние версии DNS сервера BIND"
Отправлено ragus , 09-Авг-08 23:52 
хех... s0mbre как всегда зажигает :)

"Атака на последние версии DNS сервера BIND"
Отправлено Аноним , 10-Авг-08 00:00 
на моих 128 килобитах нужна вечность ))

"OpenNews: Атака на последние версии DNS сервера BIND"
Отправлено User294 , 10-Авг-08 00:07 
> при атаке с двух машин, имеющих доступ по гигабитному линку к DNS серверу

Боюсь при таких условиях DNS сервер как правило можно сломать при помощи лома и кувалды :)
Хотя интересные спецэффекты наверное будут изредка возникать :)


"OpenNews: Атака на последние версии DNS сервера BIND"
Отправлено Аноним , 10-Авг-08 01:36 
поломанный кувалдой ДНС-сервер слегка отличается по вредоносности от ДНС-сервера, выдающего липовые данные.

"Атака на последние версии DNS сервера BIND"
Отправлено prapor , 10-Авг-08 00:43 
Самое веселое - не завалить DNS (DDoS еще никто не отменял). Самое веселое - заставить выдавать его нужную информацию, не соответствующую действительности.

"Атака на последние версии DNS сервера BIND"
Отправлено drioptr , 10-Авг-08 01:53 
У меня недавно igugle.ru подменялось какой то белибердой. Целый день. Видно пров забыл DNS сервер вовремя обновить...

"Атака на последние версии DNS сервера BIND"
Отправлено drioptr , 10-Авг-08 02:16 
имелось в виду igoogle

"Атака на последние версии DNS сервера BIND"
Отправлено exn , 10-Авг-08 03:58 
Блин, ну что за программисты то такие пофигисты у этого bind :(

"Атака на последние версии DNS сервера BIND"
Отправлено spamtrap , 10-Авг-08 10:57 
а если напрячь моск, можно понять, что то же самое можно проделать с powerdns, ms dns прочими dns - и лично программисты bind'a ничем не отличаются от обычных людей

"Атака на последние версии DNS сервера BIND"
Отправлено guest , 11-Авг-08 20:18 
Если бы у тебя было что напрягать, то ты бы смог отличить уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns такие штуки не проходят.

"Атака на протокол..."
Отправлено Andrey Mitrofanov , 11-Авг-08 21:17 
>Если бы у тебя было что напрягать, то ты бы смог отличить уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns такие штуки не проходят.

Евгений "Скучающий Русский" Поляков %) , очевидно, полагает, что он атаковал-таки протокол (ага, в лице самой "доступной" для атаки реализации):

"Article says, that DJBDNS does not suffer from this attack. It does. Everyone does. With some tweaks it can take longer than BIND, but overall problem is there."

А давайте попросим Евгения по-атаковать все доступные взгляду *dns? ;-D Ну его этот похмелФС, скушный он и непонятный...


"Атака на последние версии DNS сервера BIND"
Отправлено Nutcracker , 11-Авг-08 21:27 
>такие штуки не проходят.

Я так понимаю что проходят, исключительно вопрос траффика и времени...


"Атака на последние версии DNS сервера BIND"
Отправлено Хелагар , 12-Авг-08 11:16 
>Если бы у тебя было что напрягать, то ты бы смог отличить
>уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns
>такие штуки не проходят.

Знаешь, а ведь было бы неплохо если бы ты и тебе подобные почитали ВНИМАТЕЛЬНО новость, в её развёрнутом варианте. Ага. И тогда бы поли вы, троли форумные, что это именно уязвимость ПРОТОКОЛА. С MS DNS, к примеру, отлично проходит сходный фокус.
А что до Повера, то его автор просто пошел чуть дальше Биндовцев в плане плясок с бубном вокруг повышения секурности запросов (оставаясь в рамках того же уязвимого по сути своей протокола). Читаем комментарии самого автора Повер ДНС по этому поводу.
А это значит что и его сломают в ближайшее время. Что с сорцами, что без.
Надо протокол до ума доводить координально, а не с бубном плясать. Тогда дыры будут закрыты.
Но это сложно, поскольку ДНС-ок дофига и вводить нечто координально новое ой как непросто.
А режим совместимости со старым протоколом принесёт совместимость и по дырам в т.ч.
Имеем замкнутый круг. И вечные дыры :-)
Та же самая проблема имеет мето быть, по сути, что и с СМТП.


PS. Так что г-н гуест если у кого и недостаток серого вещества, то никак не у того, чей пос ты изволил столь идиотстки откаментировать.


"Атака на последние версии DNS сервера BIND"
Отправлено Аноним , 10-Авг-08 14:01 
Надо 130 тысяч фиктивных пакетов?
А если перепроверить 2 раза - 260 тысяч?
Так может по 10 раз каждый домен запрашивать!

"Атака на последние версии DNS сервера BIND"
Отправлено kosh , 11-Авг-08 06:13 
В новости до выпуска патчей было написано что это ошибка протокола, причем тут программисты bind'a ?
Практически все DNS-сервера уязвимы.

"Атака на последние версии DNS сервера BIND"
Отправлено Nutcracker , 11-Авг-08 21:28 
>Практически все DNS-сервера уязвимы.

Ну да.Bind просто легче всех поддавался и к тому же самый популярный.А так - проблема протокола, а не...


"Атака на последние версии DNS сервера BIND"
Отправлено аноним , 12-Авг-08 01:31 
Автор пуверднс признался, что использует некие трюки, чтоб устранить эту уязвимост. А автор эксплоита сказал, что если изучит сырцы пуверднс - обойдёт эти трюки. И ваще он сказал - хакер всегда может сделать на ход больше, чем секьюрити... Это же всё в болге есть...

"Атака на последние версии DNS сервера BIND"
Отправлено User294 , 12-Авг-08 21:27 
>на ход больше, чем секьюрити...

А если лажа в дизайне протокола - сорцы можно патчить до посинения, только это игра в страуса.Чинить надо протокольную логику а не пытаться через ж**у парировать атаки хитрыми страусиными фортелями.