Perché è necessario un server di ricognizione separato per l'avvelenamento della cache DNS?

Naviga le tue risposte
3

Sto cercando di capire come funziona il modulo Attacco host DNS BailiWicked di Metasploit . Una delle opzioni di modulo richieste è un server dei nomi di "ricognizione" (opzione RECONS).

Che cosa capisco dal codice sorgente è che il server di ricognizione viene utilizzato per trovare il server dei nomi autorevole per il dominio che stiamo spoofing. Ma perché il server dei nomi di destinazione non può essere utilizzato per questo? È così che l'host di destinazione non viene memorizzato nella cache durante la ricerca?

    
posta pepsi 24.02.2013 - 01:38
fonte

1 risposta

4

Dal punto di vista della fonte, ho intenzione di scommettere che una ragione potenziale è dovuta al fatto che l'utente ha l'opzione di falsificare l'indirizzo IP di origine che sta inviando richieste e risposte DNS dannose.

Se si stava utilizzando il server dei nomi di destinazione per recuperare le informazioni, avrebbero bisogno di effettuare richieste dal loro vero IP per ricevere le risposte. Se stavano facendo questo in combinazione con l'invio di richieste malevoli da un IP di spoofing, un amministratore di rete responsabile del server DNS di destinazione potrebbe notare che i due IP fanno richieste riguardanti lo stesso hostname malevolo, e determinare facilmente quale di essi è falso e quale è un vero IP di origine.

Quindi, questo rende possibile per un utente malintenzionato camuffare completamente la fonte dell'attacco.

    
risposta data 24.02.2013 - 03:44
fonte

Leggi altre domande sui tag

Strategie di mitigazione per risposta Spliting Attack Strumento di fuzzing per trovare gli overflow dell'heap in un binario di Windows [chiuso]