Що таке атака DNS Spoofing, Ру-Сфера Дослідження захисту та обговорення IT-безпеки
Хто переглядає цей контент: "Тема" (Всього користувачів: 0; Гостей: 1)
DNS spoofing - це простий метод обману dns системи, блок перетворення імен dns, що використовує неправдиву інформацію, отриману від хоста, який не відповідає за ту інформацію. Кожен пакет dns має 16 бітний id номер, id номер це частина dns пакета яка дозволяє ідентифікувати кожен dns пакет, який йде через порт 53 і так само запит може бути більше одного разу. id це єдиний спосіб розлікувати різні запити dns, пов'язані з цим, яке сервери dns використовують, щоб визначити, який початковий був запит. У разі BIND цей номер збільшується на 1 рівень для кожного запиту. Напад, подібний до TCP seq id може бути зроблено, хоча це важче. Навіть якщо BIND не може кешувати інформацію, яку ви надсилаєте, він передасть відповідь до оригінального хоста. У випадку ircd зробить запит на PTR у відповідь до хоста, що з'єднується з ним, пакет відповіді може бути сформульований, щоб містити додаткову інформацію, з якої ircd робитиме внутрішнє кешування. Для цієї атаки потрібен доступ root'a на сервері dns, відповідальному за in-addr.arpa блок інформації dns. Також, ircd може кешувати лише один домен. Існує ще одна атака, т.к. id складається з 16 бітів. Користувач може перебрати весь idspace. Щоб підробити свій dns допустимо на DALNet'e, потрібно надіслати 65000 згенерованих запитів на ns сервер, як тільки комп'ютер отримує відповідь на запит, потрібно буде прочитати пакет, і в ньому буде написано правильний id. Як тільки отримаєте id, потрібно знайти якийсь "packet creation tool" щоб зробити dns пакет. Залишається тільки підробити dns пакетет, надіслати на ns.dal.net і отримуєте спуфнутTCP з'єднання. формат dns пакета: +---------------+--------------+ ID номер прапори +---------------+--------------+ кількість запитівкількість відповідей +--- -------+----+--------------+ у RR Додаткові RR +--------- -+-------------------+ Запит +-------------------- ----------+ Відповідь ------------------------------+
Де, RR - resource records (такі як a records,ptr records,loc,host,mx і т.д.) Так само є ще один спосіб. Існують різні типи записів такі як a,ptr,ns,cname,soa,hinfo,mx,txt,pr,loc і т.д.
cache. root.cache primary x25.cc x25.db secondary nerf.ru nerf.db
IN NS ns.x25.cc. IN NS ns.nameserver.com. IN MX 10 mail.x25.cc. IN A 127.0.0.1 localhost IN A 127.0.0.1 ====================/usr/named/x25.db== ==================
перша лінія відповідає за конфігурацію домену, як часто оновлювати, expire date і т.д.