The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака на последние версии DNS сервера BIND

09.08.2008 23:18

Евгений Поляков обнаружил возможность осуществления подстановки данных в кэш DNS сервера BIND последней версии (9.5.0-P2, 9.4.2-P2 и 9.3.5-P2), содержащей исправления для защиты от подобной атаки методом Каминского.

Механизм случайного распределения номеров сетевых портов, используемый в последних версиях BIND для компенсации недостаточно большого размера поля с идентификационным номером запроса в DNS пакете теоретически растягивал время успешной атаки с нескольких минут до недели (16 битам query id + 64 тыс. портов). Евгению удалось добиться успешного проведения атаки на новые версии BIND приблизительно за 10 часов, при атаке с двух машин, имеющих доступ по гигабитному линку к DNS серверу (на практике такая атака может быть проведена с затрояненной машины в одной локальной сети с DNS сервером). Для успешного подбора номера порта и идентификатора пакета потребовалось отправить около 130 тысяч фиктивных пакетов.

Общие принципы совершения атаки методом Каминского прекрасно изложены в статье "An Illustrated Guide to the Kaminsky DNS Vulnerability", содержащей подробное объяснение всех тонкостей и снабженной наглядными иллюстрациями.

  1. Главная ссылка к новости (http://tservice.net.ru/~s0mbre...)
  2. OpenNews: Иллюстрированное пояснение сущности атаки на DNS серверы
  3. OpenNews: Бета-тестирование второго варианта патча для DNS сервера BIND
  4. OpenNews: Опубликован код эксплоита для атаки на DNS серверы
  5. OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND
  6. OpenNews: BIND 9.5.0-P2, 9.4.2-P2 и 9.3.5-P2 с исправлением недоработок первой корректирующей версии
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/17337-dns
Ключевые слова: dns, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, prapor (??), 23:35, 09/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дайте две...
     
  • 1.2, ragus (?), 23:52, 09/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хех... s0mbre как всегда зажигает :)
     
  • 1.4, Аноним (4), 00:00, 10/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на моих 128 килобитах нужна вечность ))
     
  • 1.5, User294 (ok), 00:07, 10/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > при атаке с двух машин, имеющих доступ по гигабитному линку к DNS серверу

    Боюсь при таких условиях DNS сервер как правило можно сломать при помощи лома и кувалды :)
    Хотя интересные спецэффекты наверное будут изредка возникать :)

     
     
  • 2.7, Аноним (4), 01:36, 10/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    поломанный кувалдой ДНС-сервер слегка отличается по вредоносности от ДНС-сервера, выдающего липовые данные.
     

  • 1.6, prapor (??), 00:43, 10/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое веселое - не завалить DNS (DDoS еще никто не отменял). Самое веселое - заставить выдавать его нужную информацию, не соответствующую действительности.
     
  • 1.8, drioptr (ok), 01:53, 10/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня недавно igugle.ru подменялось какой то белибердой. Целый день. Видно пров забыл DNS сервер вовремя обновить...
     
  • 1.9, drioptr (ok), 02:16, 10/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    имелось в виду igoogle
     
  • 1.10, exn (??), 03:58, 10/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин, ну что за программисты то такие пофигисты у этого bind :(
     
     
  • 2.13, spamtrap (??), 10:57, 10/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а если напрячь моск, можно понять, что то же самое можно проделать с powerdns, ms dns прочими dns - и лично программисты bind'a ничем не отличаются от обычных людей
     
     
  • 3.20, guest (??), 20:18, 11/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы у тебя было что напрягать, то ты бы смог отличить уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns такие штуки не проходят.
     
     
  • 4.21, Andrey Mitrofanov (?), 21:17, 11/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Если бы у тебя было что напрягать, то ты бы смог отличить уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns такие штуки не проходят.

    Евгений "Скучающий Русский" Поляков %) , очевидно, полагает, что он атаковал-таки протокол (ага, в лице самой "доступной" для атаки реализации):

    "Article says, that DJBDNS does not suffer from this attack. It does. Everyone does. With some tweaks it can take longer than BIND, but overall problem is there."

    А давайте попросим Евгения по-атаковать все доступные взгляду *dns? ;-D Ну его этот похмелФС, скушный он и непонятный...

     
  • 4.22, Nutcracker (?), 21:27, 11/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >такие штуки не проходят.

    Я так понимаю что проходят, исключительно вопрос траффика и времени...

     
  • 4.25, Хелагар (ok), 11:16, 12/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Если бы у тебя было что напрягать, то ты бы смог отличить
    >уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns
    >такие штуки не проходят.

    Знаешь, а ведь было бы неплохо если бы ты и тебе подобные почитали ВНИМАТЕЛЬНО новость, в её развёрнутом варианте. Ага. И тогда бы поли вы, троли форумные, что это именно уязвимость ПРОТОКОЛА. С MS DNS, к примеру, отлично проходит сходный фокус.
    А что до Повера, то его автор просто пошел чуть дальше Биндовцев в плане плясок с бубном вокруг повышения секурности запросов (оставаясь в рамках того же уязвимого по сути своей протокола). Читаем комментарии самого автора Повер ДНС по этому поводу.
    А это значит что и его сломают в ближайшее время. Что с сорцами, что без.
    Надо протокол до ума доводить координально, а не с бубном плясать. Тогда дыры будут закрыты.
    Но это сложно, поскольку ДНС-ок дофига и вводить нечто координально новое ой как непросто.
    А режим совместимости со старым протоколом принесёт совместимость и по дырам в т.ч.
    Имеем замкнутый круг. И вечные дыры :-)
    Та же самая проблема имеет мето быть, по сути, что и с СМТП.


    PS. Так что г-н гуест если у кого и недостаток серого вещества, то никак не у того, чей пос ты изволил столь идиотстки откаментировать.

     

  • 1.15, Аноним (15), 14:01, 10/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо 130 тысяч фиктивных пакетов?
    А если перепроверить 2 раза - 260 тысяч?
    Так может по 10 раз каждый домен запрашивать!
     
  • 1.19, kosh (??), 06:13, 11/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В новости до выпуска патчей было написано что это ошибка протокола, причем тут программисты bind'a ?
    Практически все DNS-сервера уязвимы.
     
     
  • 2.23, Nutcracker (?), 21:28, 11/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Практически все DNS-сервера уязвимы.

    Ну да.Bind просто легче всех поддавался и к тому же самый популярный.А так - проблема протокола, а не...

     
     
  • 3.24, аноним (?), 01:31, 12/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Автор пуверднс признался, что использует некие трюки, чтоб устранить эту уязвимост. А автор эксплоита сказал, что если изучит сырцы пуверднс - обойдёт эти трюки. И ваще он сказал - хакер всегда может сделать на ход больше, чем секьюрити... Это же всё в болге есть...
     
     
  • 4.26, User294 (??), 21:27, 12/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >на ход больше, чем секьюрити...

    А если лажа в дизайне протокола - сорцы можно патчить до посинения, только это игра в страуса.Чинить надо протокольную логику а не пытаться через ж**у парировать атаки хитрыми страусиными фортелями.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру