DNS Server Recursive Query Cache Poisoning Debolezza "Bounce DoS"

3

Nessus Tenable afferma che se c'è un server DNS Recursive Query Poisoning Weakness l'host consente query ricorsive via UDP, quindi l'host può essere usato per "rimbalzare" attacchi Denial of Service contro un'altra rete o sistema.

Che cos'è un attacco DoS di rimbalzo e qual è l'importanza di UDP in esso?

    
posta user80761 13.07.2015 - 10:05
fonte

2 risposte

1

Fondamentalmente, l'avvelenamento della cache DNS (noto anche come spoofing del DNS) consiste in:

Un utente malintenzionato tenta di inserire un record di indirizzo falso per un dominio Internet nel DNS. Se il server accetta il record falso, la cache viene avvelenata e le successive richieste per l'indirizzo del dominio ricevono una risposta con l'indirizzo di un server controllato dall'attaccante. Per tutto il tempo in cui la voce fasulla viene memorizzata nella cache dal server (le voci di solito hanno un tempo di vita (TTL) di un paio d'ore) i browser o server di posta elettronica dell'abbonato andranno automaticamente all'indirizzo fornito dal server DNS compromesso.

Ecco un link che lo spiega.

Più importante è il server DNS che è stato compromesso, maggiore sarà il numero di richieste ricevute e anche gli utenti di altri server DNS che lo utilizzano come spedizioniere saranno interessati. Questo è il "rimbalzo" di cui stai parlando.

E per rispondere alla tua domanda how important is UDP? . È semplice come UDP è il protocollo utilizzato per le richieste DNS. TCP viene utilizzato solo per i trasferimenti di zona. Quindi ogni richiesta viaggia come UDP. E come sapete (immagino), i pacchetti UDP funzionano in modo simile a TCP ma lanciano tutte le informazioni per il controllo degli errori. Tutta la comunicazione avanti e indietro e la deliverability garantiscono un rallentamento, quindi in genere UDP è meglio eseguire il DoS perché è più veloce.

Ecco un altro articolo interessante. Su questo , è spiegato molto bene come utilizzare un server DNS per far parte di un attacco DDoS (Distributed Denial of Service).

    
risposta data 21.12.2016 - 14:00
fonte
0

Non sono sicuro che il termine "avvelenamento da cache" significhi cosa tu pensi che significhi; non è una forma di DoS ma piuttosto una violazione della sicurezza.

Riguardo agli attacchi UDP e DoS, poiché il campo IP sorgente per i pacchetti UDP non è sempre filtrato dagli ISP, a volte è possibile inviare pacchetti fraudolentemente per conto di altri server. Ciò rende possibili tutti i tipi di attacchi DoS amplificati e riflessi , argomento di cui credo sia la tua domanda.

Uno degli attacchi DoS più pericolosi al giorno d'oggi è il classico attacco di amplificazione DNS, dove molto simile a un classico flood di SYN, i pacchetti sono falsificati su un computer con il campo sorgente IP mal intenzionalmente manomesso. In questo attacco, l'origine del pacchetto è segnalato come destinazione finale, in modo che la risposta dal server, di solito creata per essere molte volte più grande della richiesta inviata dall'attaccante, venga inviata al bersaglio. Questo fa sì che i nameserver moltiplichino la dimensione del flusso, quindi la larghezza di banda consumata e rende anche la fonte di attacco incredibilmente difficile da rintracciare.

Ovviamente questo può essere esteso a un attacco DRDoS (distributed denial of service), in cui più connessioni malevoli stanno forgiando richieste a più server dei nomi per conto del target dell'attacco, al fine di moltiplicare la larghezza di banda dei nameserver e mirare al bersaglio finale.

Per essere chiari, UDP non è richiesto per avvelenare una cache DNS, sebbene l'inaffidabilità dei pacchetti introduca sicuramente molti attacchi, in particolare quando le estensioni DNSSEC non sono installate!

È del tutto possibile che un dipendente malintenzionato presso un ISP (o chiunque abbia accesso amministrativo a un server dei nomi in questione) possa corrompere un pezzo di memoria utilizzando una vulnerabilità locale, ad esempio, e ciò costituirebbe una cache DNS attacco di avvelenamento che non si basa affatto su UDP.

Anche quando TCP è usato al posto di UDP, è del tutto possibile che ci possa essere un errore da qualche parte in un chip di RAM tra sorgente e destinazione che causa un po 'di ribaltamento. Un po 'passare da stac k overflow.com a stac i overflow.com sul lato client causerebbe l'inoltro della richiesta a un server dei nomi potenzialmente dannoso, per esempio, che potrebbe rispondere come se fosse proprietario di quel dominio. Si chiama bitsquatting e non si basa in modo specifico su UDP; Dopotutto, il DNS supporta (almeno in parte) il protocollo TCP.

Inoltre, su ogni pacchetto c'è un campo TTL (time-to-live), che ogni router aggiorna quando il pacchetto viene inviato dal router al router verso la destinazione. Il motivo è che la sorgente può essere notificata se non esiste una rotta, ad esempio. Sfortunatamente, questo significa che il checksum deve essere aggiornato ad ogni hop, il che significa che gli errori in memoria ad ogni hop potrebbero non essere identificati dal meccanismo di checksum UDP. Grande cipiglio: : (

Mentre possiamo vedere gli attacchi di avvelenamento della cache DNS sono sicuramente una preoccupazione importante, penso che ora dovresti essere in grado di vedere come non sono realmente rilevanti per la maggior parte della tua domanda.

    
risposta data 17.11.2017 - 05:16
fonte

Leggi altre domande sui tag