Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от opennews (??), 15-Ноя-20, 12:29 | ||
Группа исследователей из Университета Цинхуа и Калифорнийского университета в Риверсайде разработали новый вид атаки (CVE-2020-25705), позволяющей осуществить подстановку фиктивных данных в кэш DNS-сервера, что может использоваться для подмены IP адреса произвольного домена и перенаправления обращений к домену на сервер злоумышленника. Атака позволяет обойти защиту, добавленную в DNS-серверы для блокирования классического метода отравления кэша DNS, предложенного в 2008 году Дэном Камински (Dan Kaminsky)... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | –3 +/– | |
Сообщение от Аноним (1), 15-Ноя-20, 12:29 | ||
> Так как фиктивные пакеты осуществляется с поддельного IP, атакующий не может получить ICMP-ответы, но благодаря общему счётчику может после каждых 1000 поддельных пакетов отправить запрос к несуществующему порту с реального IP и оценить приход ответа - если ответ пришёл, значит в одном из 1000 пакетов угадан верный порт, если нет - сработал лимит и все порты закрыты. | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +5 +/– | |
Сообщение от одним словом (?), 15-Ноя-20, 14:15 | ||
только забыли о пропуске трафика на динамически открываемые порты | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Аноним (9), 15-Ноя-20, 15:12 | ||
Можно сделать, например, так (в PF): | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +1 +/– | |
Сообщение от Ivan_83 (ok), 15-Ноя-20, 20:09 | ||
А можно почитать документацию к unbound и сделать чтобы он ходил по TCP и/или чтобы использовал name case (днс куки кажется) и тп. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | –1 +/– | |
Сообщение от Всем Анонимам Аноним (?), 15-Ноя-20, 20:09 | ||
это будет работать на домашнем сервере, а на больших нагрузках conntrack выключен. там еще какие-то были фишки, не помню уже. даже nat просто модуль загруженный уже как-то влиял на производительность, если не ошибаюсь. | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
39. Скрыто модератором | –7 +/– | |
Сообщение от пох. (?), 16-Ноя-20, 12:37 | ||
Ответить | Правка | Наверх | Cообщить модератору |
43. Скрыто модератором | –1 +/– | |
Сообщение от Всем Анонимам Аноним (?), 16-Ноя-20, 18:04 | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. Скрыто модератором | +/– | |
Сообщение от пох. (?), 17-Ноя-20, 09:41 | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +4 +/– | |
Сообщение от Ivan_83 (ok), 15-Ноя-20, 20:07 | ||
Всё бы вам костылить через фаервол, вместо того чтобы реально что то исправлять. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
26. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Ivan_83 (ok), 15-Ноя-20, 20:24 | ||
И да, специально для таких любителей костылей как вы я ещё раз напишу. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
27. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Аноним (27), 15-Ноя-20, 21:59 | ||
А если правительство требует заворачивать трафик на 8.8.8.8 и 1.1.1.1 на свои сервера, то ваши пляски с фаерволами выглядят смешно, неуместно! У нас снемцами просто проблемы разные :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Ivan_83 (ok), 15-Ноя-20, 22:07 | ||
Мы тут обсуждали DNS а не особенности местной политики. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +1 +/– | |
Сообщение от Аноним (27), 16-Ноя-20, 00:15 | ||
Вы, это Николай Второй? А подмена ДНС серверов, это не особенность - это местное правило? | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +2 +/– | |
Сообщение от Аноним (32), 16-Ноя-20, 00:34 | ||
Но сначала он должен послать запросы вам со своего IP, чтобы узнать какие у вас порты открыты-закрыты, чтобы знать куда же слать фейковый ответ от 8.8.8.8. Причем послать их много. чтобы понять на каких именно портах не так тригерется отправка "порт закрыт" и имено туда и надо слать фейковый ответ.. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
2. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | –1 +/– | |
Сообщение от InuYasha (??), 15-Ноя-20, 12:29 | ||
М-да, хитро. Есть даже мысль как можно этот перебор портов оптимизировать (хотя, на практике, наверное, уже всё так и сделали). | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +2 +/– | |
Сообщение от Ivan_83 (ok), 15-Ноя-20, 20:10 | ||
Хакер и столовая. | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от InuYasha (??), 16-Ноя-20, 13:53 | ||
> Хакер и столовая. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Ivan_83 (ok), 17-Ноя-20, 07:11 | ||
Суть в том, что можно этой фигнёй страдать, да толку нынче мало. | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Sw00p aka Jerom (?), 15-Ноя-20, 13:31 | ||
а как же blackhole? | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. Скрыто модератором | +5 +/– | |
Сообщение от Аноним (5), 15-Ноя-20, 13:44 | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +1 +/– | |
Сообщение от Аноним (4), 15-Ноя-20, 13:38 | ||
2^16+2^16 == 2*2^16 == 2^17 | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от одним словом (?), 15-Ноя-20, 14:11 | ||
умножить | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +7 +/– | |
Сообщение от leibniz (ok), 15-Ноя-20, 14:54 | ||
2^1 чашки чего-нибудь этому анониму | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
10. Скрыто модератором | –2 +/– | |
Сообщение от Lex (??), 15-Ноя-20, 15:14 | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. Скрыто модератором | +/– | |
Сообщение от anoname (?), 15-Ноя-20, 15:52 | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +2 +/– | |
Сообщение от Аноним (11), 15-Ноя-20, 15:46 | ||
> В качестве обходных путей защиты можно временно отключить отправку ICMP-пакетов, изменить значение rate-лимита и таймаута в сетевом стеке, а также использовать DNSSEC или DNS cookie. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | –1 +/– | |
Сообщение от Аноним (14), 15-Ноя-20, 15:52 | ||
А какова ситация с DNSSEC? | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | –1 +/– | |
Сообщение от Сейд (ok), 15-Ноя-20, 18:36 | ||
DNSSEC защищает от этой атаки. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +1 +/– | |
Сообщение от microsoft (?), 15-Ноя-20, 18:54 | ||
Точно защищает? | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Сейд (ok), 15-Ноя-20, 19:08 | ||
И да, и нет, сервер должен реализовать строгую проверку DNSSEC (т. е. отклонить ответы, которые нарушают цепочку доверия), чтобы предотвратить атаку. Однако, поскольку DNSSEC всё ещё находится в стадии распространения, серверы вынуждены принимать такие ответы при посещении неправильно настроенного домена. | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +1 +/– | |
Сообщение от Аноним (14), 16-Ноя-20, 10:03 | ||
Эоотможно исправить только одним способом - отключить неправильно настроенные домены от DNS. Если всё и так работает, то админы и не почешутся исправить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Аноним (19), 15-Ноя-20, 19:37 | ||
Верните Балмера! | ||
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору |
25. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +5 +/– | |
Сообщение от Ivan_83 (ok), 15-Ноя-20, 20:20 | ||
Он как и раньше не нужен. | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
29. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Аноним (14), 15-Ноя-20, 22:09 | ||
>lets encrypt и вся эта движуха с сертификатами и https везде - это всё не про вашу безопасность, это про тотальный контроль интернета и централизацию управления. | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +5 +/– | |
Сообщение от Ivan_83 (ok), 15-Ноя-20, 23:44 | ||
Вы чего то не понимаете. | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +1 +/– | |
Сообщение от Аноним (14), 16-Ноя-20, 10:00 | ||
Дело в том, что сам браузер менять не надо. Нужно обращаться к DNS не напрямую, а через локальный прокси, который сам уже будет разговаривать проверять OpenPGP и разговаривать с блокчейном и т.д. Так я пользуюсь DNSCrypt, хотя его сайты из коробки не поддерживают, всё идёт через чужие сервера. | ||
Ответить | Правка | Наверх | Cообщить модератору |
46. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Ivan_83 (ok), 17-Ноя-20, 07:13 | ||
Можно, только это путь в никуда, как и всякие альтернативные днс системы. | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от АнониМММ (?), 17-Ноя-20, 20:25 | ||
https://hub.docker.com/r/jedisct1/dnscrypt-server | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от пох. (?), 16-Ноя-20, 00:41 | ||
> Он как и раньше не нужен. | ||
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору |
36. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | –1 +/– | |
Сообщение от Аноним (14), 16-Ноя-20, 10:01 | ||
Это не защитит от поддельных ответов со стороны DNS-сервера. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | –1 +/– | |
Сообщение от Аноним (38), 16-Ноя-20, 11:05 | ||
> напомнить, сколько remote code exec в нем находят каждый год? | ||
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору |
40. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Sw00p aka Jerom (?), 16-Ноя-20, 13:01 | ||
SIGRed CVE-2020-1350 | ||
Ответить | Правка | Наверх | Cообщить модератору |
44. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +2 +/– | |
Сообщение от Аноним (38), 16-Ноя-20, 21:26 | ||
Вынь-дос-сервер? Познавательно, но хотелось бы чего-нибудь более жизненного. И ежегодного, как было обещано. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. Скрыто модератором | +/– | |
Сообщение от Аноним (20), 15-Ноя-20, 19:58 | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | –2 +/– | |
Сообщение от Аноним (34), 16-Ноя-20, 04:10 | ||
DNSCrypt | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Атака SAD DNS для подстановки фиктивных данных в кэш DNS" | +/– | |
Сообщение от Michael Shigorin (ok), 16-Ноя-20, 13:06 | ||
> DNSCrypt | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |