Возможность DNS имитации в BIND

28.11.2002 | 15:28
CAIS/RNP (Brazilian Research Network CSIRT) и Vagner Sacramento из DIMAp/UFRN (Отдел Информатики и Прикладной математики Федерального университета Rio Grande do Norte) провели эксперименты с несколькими версиями Internet Software Consortium's (ISC) Berkeley Internet Name Domain (BIND), демонстрируя возможность успешной атаки DNS имитации (DNS Spoofing) в 4 и 8 версии программы.

На сегодняшний день, более 60% DNS серверов используют уязвимые и старые версии BIND. Обнаруженная проблема показывает, что BIND не предотвращает посылку 2-х или более запросов развязки для одного и того же домена, тем самым, позволяя нападения DNS имитации с существенной вероятностью успеха.

Принцип нападения состоит в том, чтобы ответить ложной информацией на запрос DNS сервера, заставляя его записать в кэш ложный IP адрес для некоторого домена.

Когда n различных DNS клиентов посылают одновременные запросы DNS серверу (BIND 4 или BIND 8), чтобы развязать то же самое имя домена, целевой сервер отправит запросы к другим DNS серверам, начинающимся с корневых серверов, пытаясь получить ответы для каждого из запросов.

В этом случае, уязвимость может эксплуатироваться атакующим, который посылает одновременно n запросов к DNS серверу, используя различные IP адреса источника и то же самое имя домена. DNS сервер пошлет все полученные запросы другим DNS серверам, чтобы разрешить их. В результате, этот сервер будет ожидать n ответов с различными идентификаторами для одного имени домена. Нападающий тогда посылает несколько ответов с различными идентификаторами на DNS сервер адресата, пытаясь предположить один из ожидаемых идентификаторов ответа, тем самым, применяя нападение DNS имитации. Вероятность успеха DNS имитации в BIND 4 и BIND 8 определяется уравнением: n-request-sent/65535, где n-request-sent - число запросов, посланных одновременно DNS серверу.

Уязвимость может использоваться для компрометации приложений, использующих DNS службу (типа SMTP, HTTP, LDAP, FTP, SSH и др.).

Уязвимость обнаружена в BIND 4.9.11, 8.2.7, 8.3.4.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код