Cancella la cache del server DNS?

2

Esiste comunque la possibilità che l'attaccante cancelli la cache di un server DNS per avvelenarlo?

Ad esempio, se qualcuno ha attaccato il mio server DNS nel tentativo di falsificare Google.com, riceverà la risposta "Google.com è già nella cache" - così l'autore dell'attacco ha la possibilità di cancellare i dati nella cache ?

    
posta Emadeddin 19.08.2013 - 21:08
fonte

1 risposta

1

Gestione della cache è un argomento vasto. La metà delle decisioni prese da un server DNS, nel modo in cui gestisce la cache, sono puramente locali e quindi non standard.

Nel sistema DNS , i server che sono "autorevoli" per una zona (ad esempio un dominio) pubblicano alcune cache ritardi, che applicano restrizioni ad altri server. Ad esempio, per google.com :

$ host -t soa google.com
google.com has SOA record ns1.google.com. dns-admin.google.com. 2013072400 7200 1800 1209600 300

I numeri sono, in questo ordine: seriale , aggiornamento , nuovo tentativo , scadenza e minima . Il "seriale" è un numero arbitrario aumentato a ogni modifica e tradizionalmente codifica la data dell'ultima modifica (qui, 24 luglio 2013). Gli altri quattro numeri interi sono ritardi , espressi in secondi. Dicono che un "secondario" (ad esempio il server DNS di un ISP, non il server DNS di origine per il dominio di destinazione) dovrebbe utilizzare la seguente strategia:

  • Qualunque informazione fosse memorizzata nella cache, dovrebbe essere aggiornato dopo due ore (7200 secondi), nel caso in cui si ottengano informazioni più recenti.
  • In caso di mancato raggiungimento del DNS di origine, un server deve attendere mezz'ora (1800 secondi) prima di riprovare.
  • Le informazioni che sono state memorizzate nella cache non possono essere considerate utilizzabili oltre i quattordici giorni (1209600 secondi). Un server DNS non deve utilizzare o conservare informazioni ottenute da più di quindici giorni.
  • A meno che non possa essere evitato, un server DNS non deve parlare nuovamente al server DNS di origine entro cinque minuti (300 secondi) dalla risposta precedente.

La sezione 2.2 di RFC 1912 fornisce ulteriori dettagli. Il valore più importante, per un utente malintenzionato incline all'avvelenamento DNS, è il ritardo "minimo". Qui, significa che l'attaccante avrà difficoltà a far sì che la sua vittima mangi dati DNS falsi su google.com prima che siano trascorsi almeno 5 minuti. Viceversa, l'attaccante deve solo attendere cinque minuti, o mantenere il suo flusso tossico di risposte false per cinque minuti, in modo da avere una buona probabilità di avvelenare il server.

Esistono metodi per accelerare la dimenticanza. L'attaccante ha la possibilità di avvelenare il server se riesce a dimenticare ciò che sa su un determinato dominio. Come spiegato sopra, un server DNS "dimenticherà" già le informazioni beased sui ritardi che sono pubblicizzati dal server di origine stesso. Tuttavia, un server DNS conserva la cache nella RAM, che non è una risorsa infinita. Ciò significa che potrebbe essere applicabile quanto segue:

  • L'utente malintenzionato può inviare spam al DNS di destinazione con molte richieste per molti domini scelti a caso, in modo che il DNS disponga di più informazioni nella cache di quanto possa realisticamente conservare nella RAM allocata, forzandolo a sfrattare le informazioni precedentemente memorizzate nella cache prima di quello che avrebbe comportato il ritardo "minimo".

  • In alcuni casi, l'utente malintenzionato può arrestare il DNS di destinazione e riavviarsi automaticamente (dipende da quanto bene il software DNS e il sistema operativo sottostante gestiscono in modo massiccio Attacchi DoS ). Un server DNS arrestato e riavviato inizia la sua vita con una cache pulita e vuota, pronta per essere avvelenata.

  • I server DNS possono anche concordare le notifiche proattive delle modifiche: un DNS secondario può chiedere a un primario di dirlo ogni volta che alcuni dei suoi dati sono cambiati, in modo che possa invalidare immediatamente le sue cache, invece di aspettare il normale aggiornamenti basati sul ritardo. Un aggressore laborioso potrebbe voler provare a simulare questo meccanismo per forzare un aggiornamento anticipato.

risposta data 21.08.2013 - 15:50
fonte

Leggi altre domande sui tag