Possibilità di un attacco DNSSEC

0

Inizio a conoscere DNS e DNSSEC. Ho scoperto che DNSSEC funziona in modo simile a una firma PGP. Un pezzo di dati firmato da una chiave e la chiave firmata da un'altra chiave. Quindi, ho un attacco che potrebbe funzionare con qualche ipotesi, ma voglio che qualche convalida funzioni.

Supponendo che un utente malintenzionato abbia intercettato una rete e sia in grado di manipolare il pacchetto. Un cliente richiede un record DNS dal DNS pubblico di Google. Risposte DNS con risposta legit. Ora l'attaccante intercetta il pacchetto di risposta, modifica la risposta e rimuove qualsiasi informazione relativa a DNSSEC. Client diretto al sito dell'attacker.

L'attacco rimuove sostanzialmente le informazioni relative al DNSSEC. Poiché il cliente non ha informazioni per verificare i dati, può solo fidarsi e collegare l'indirizzo IP all'interno della risposta DNS. E l'attaccante non ha bisogno di spoofare il dominio di destinazione e il suo genitore perché è solo una semplice sottrazione.

Questo attacco è possibile o DNSSEC ha un qualche tipo di meccanismo per impedire che questo accada?

    
posta Hartman 01.03.2017 - 03:31
fonte

1 risposta

1

C'è una catena di fiducia che blocca questo:

La radice DNS stessa è firmata con DNSSEC. Questo è ben noto ai clienti che supportano DNSSEC. Quando la radice DNS fornisce record relativi (ad es.,) Al dominio .com, la sua risposta includerà un record DS per indicare che anche quel dominio deve essere firmato. Funziona di nuovo ai livelli successivi: il dominio .com fornirà un record DS per indicare che si suppone che example.com sia firmato con DNSSEC.

Per questo motivo, un utente malintenzionato che rimuove qualsiasi record DNSSEC interromperà la validità del DNSSEC del livello precedente e rimuovere DNSSEC dalla radice è un chiaro segnale che la manomissione si è verificata.

Caveat: il precedente funziona solo se ogni parte del dominio è firmata. Se example.com non è firmato ma secure.example.com è, l'attacco che stai descrivendo diventa possibile a meno che il resolver non conosca l'ancora di fiducia per secure.example.com.

Fonti:

risposta data 01.03.2017 - 04:39
fonte

Leggi altre domande sui tag