Esistono strumenti di analisi DNS in grado di rilevare risultati DNS errati?

Naviga le tue risposte
4

Esistono strumenti (o almeno metodi che funzionerebbero, se al momento non esistono strumenti gratuiti) quali potrebbero essere utilizzati per rilevare falsi risultati DNS?

Sarebbe molto semplice rilevare un attacco sulla falsariga di DNSChanger (basta avvisare l'utente se l'IP del server DNS è stato modificato) ma supponiamo che un sistema come DNSChanger abbia funzionato eseguendo il proxy delle query DNS e modificandole al volo .. come hai potuto rilevare questo?

    
posta 29.07.2012 - 08:55
fonte

3 risposte

2

Non sono a conoscenza di strumenti e non sono sicuro di quanto sarebbero efficaci. Se hai abbastanza privilegi per cambiare i server DNS di un sistema, puoi probabilmente disabilitare anche i programmi anti-malware.

Se lo desideri, puoi facilmente scrivere uno script che faccia quanto segue:

  1. Query per il dominio che vuoi essere sicuro sia corretto, utilizzando i server DNS del sistema
  2. Interroga un server DNS affidabile per lo stesso dominio
  3. Interroga un secondo server DNS attendibile per lo stesso dominio

Da cui puoi concludere:

  • Se tutti danno lo stesso IP, probabilmente è legit.
  • Se i server DNS attendibili forniscono lo stesso IP ma i tuoi no, qualcosa non va
  • Se offrono tutti IP diversi, il server dei nomi del dominio di destinazione utilizza round-robin o split horizon

Questo è, come quasi tutto, non del tutto sicuro. Come ho già detto, il malware ha bisogno di molti privilegi per fare ciò, non è impensabile che parodia l'IP di server attendibili come OpenDNS o il DNS pubblico di Google, facendoli sembrare che restituiscano la stessa risposta del server malware.

Probabilmente l'unico modo per assicurarti di parlare con i server DNS fidati, è usando DNSSEC.

    
risposta data 29.07.2012 - 15:58
fonte
0

Seleziona un sito il cui IP non cambia mai (non selezionare un sito che utilizzi Akamai o qualsiasi altro host IP multiplo, ma più probabilmente un sito di una piccola azienda) e semplicemente esegui uno script sulla macchina, interrogando costantemente quel sito. Se l'IP restituisce modifiche, allora sai di avere malware.

    
risposta data 29.07.2012 - 14:50
fonte
0

Puoi eseguire TSIG controlli DNS (chiave privata condivisa tra host e richiedente), quindi eseguire un CRON che ascolta le risposte di errore e richiede l'azione. Viene utilizzato per la verifica degli aggiornamenti DNS dinamici, ma potrebbe essere facilmente utilizzato per la sicurezza se si imposta correttamente il trasferimento della chiave segreta (ad esempio rsync su SSH).

This protocol allows for transaction level authentication using
shared secrets and one way hashing. It can be used to authenticate
dynamic updates as coming from an approved client, or to authenticate responses as coming from an approved recursive name server.

No provision has been made here for distributing the shared secrets; it is expected that a network administrator will statically configure name servers and clients using some out of band mechanism such as sneaker-net until a secure automated mechanism for key distribution is available.

Riguardo ai record obsoleti e agli attacchi di riproduzione:

3.3. Time values used in TSIG calculations

The data digested includes the two timer values in the TSIG header in order to defend against replay attacks. If this were not done, an attacker could replay old messages but update the "Time Signed" and "Fudge" fields to make the message look new.

C'è una lettura eccellente sulla sicurezza DNS in O'Reilly DNS and Bind .

    
risposta data 13.06.2013 - 17:52
fonte

Leggi altre domande sui tag

È sicuro installare i token software RSA SecurID sullo stesso computer che verrà utilizzato per accedere alla VPN? AES Strategia di generazione di chiavi / Algoritmo per il sistema offline