DNS cache poisoning útoky

1. 8. 2008

DNS protokol slouží k převodu doménových jmen na IP adresy. Byl navržen v osmdesátých letech a od té doby se moc neměnil. Obsahuje však několik bezpečnostních nedostatků, na které se poslední dobou zaměřili útočníci a to není jediný případ. Cesta k heslům nebo třeba i bankovním účtům je mnohem jednodušší. Útok typu DNS cache poisoning spočívá v napadení DNS serveru vašeho ISP, resp. jeho DNS cache serveru, který slouží uchovávání záznamů, aby se při každém dotazu nemuselo komunikovat se servery, které mají mnohem horší odezvu. Pokud se útočníkovi podaří vložit vlastní DNS záznam do cache DNS server u ISP, mohou být následky fatální. Pro představu si stačí uvědomit, že místo „nepohodlného“ phishingového emailu jenom útočník vytvoří přihlašovací stránku banky a nasměruje si tam DNS vašeho ISP. Běžný uživatel nemá šanci něco poznat dokud nebude pozdě. Před problémem varuje i cz.nic. Naštěstí existují i testy, které napadnutelnost DNS serverů vašeho poskytovatele ověří.

Za upozornění děkuji Petru Nachtmannovi.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

1. 8. 2008 22:44

marek (neregistrovaný)

a co ak by sa namiesto requestu na 1 dns server posielali oziadavky na 2 alebo 3 servery sucasne a ak by vysledok bol rovnaky tak je stranka bezpecne prelozena bolo by to nieco na sposob redudancie.
dalo by sa to realizovat ????
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 8. 2008 23:08

micaai

Jedna doména může ležet na vícero IP adresách, v tomdle by se to asi bilo.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 8. 2008 23:43

Ondřej Surý

Ne, nepomohlo. Podstata útoku je, že spoofujete UDP odpovědi rychleji než cílové servery. A díky omezenému množství kombinací (jeden port a 2 byte Transaction ID) to ani není moc dat. Nic vám pak nebrání spoofovat více serverů naráz. Pokud jste v lokální síti (tím myslím i síť providera), tak pravděpodobně budete vždycky rychlejší.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 8. 2008 8:32

Alois Vytlemek (neregistrovaný)

No ono kdyby to byl jeden 16bit port a jedno 16bit transaction id, tak by to bylo _dost_ kombinaci. Problem je v tom -- a to je taky duvod, proc se o tom v posledni dobe tak mluvi -- ze 1) nektere DNS servery se neobtezuji randomizovat port 2) jak si mam pocit vsimnul Dan Kaminsky, nektere implementace maskarad zdrojove porty zpatky serializuji. Teprve potom to zacne byt nebezpecne.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 8. 2008 11:41

Ondřej Surý

Omlouvám se, špatně jsem se vyjádřil. Pod jeden port se skrývá "jeden fixní zdrojový port", ale tak nějak jsem si říkal, že by si diskutující mohli být s tím útokem obeznámeni...

Mimochodem... už jste upgradli své DNS servery?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
12. 12. 2012 17:39

sergej (neregistrovaný)

ahoj vsem mam dotaz muzu smazat DNS cache a font cache,ne poskodim tim windows?dekuji
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 8. 2008 22:57

Pavel F. (neregistrovaný)

Útočník pravděpodobně nikdy nezíská webový certifikát od uznávané certifikační autority, které jsou standardně v systému, takže základní pravidlo by mělo stačit - při přihlašování na citlivé servery (ať už banky či své systémy) zkontrolovat, zda server má v liště "zámeček". Pokud útočník použije certifikát s jiným Common Name, tak browser obvykle zařve.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 8. 2008 9:56

bez přezdívky

nevim jak by utocnici vygenerovali SMS, kterou posila prvni nase banka (uz 10 let) komunikujici prostrednictvim Internetu. Do te doby se utocnik nedozvi nic krome cislicka ktere neslouzi jako heslo. Takze pouzivejme "bezpecne" komunikacni kanaly a nechodme do bank, ktere je nechteji vytvorit. Nic neni uplne bezpecne ale neminimalizovat riziko je veci kazdeho uzivatele. Kdo jde za cenou a ne za bezpecnosti zrejme nema co ztratit. Je to svobodne rozhodnuti kazdeho obcana.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 8. 2008 17:23

anonymní

SMS vygeneruji jednoduse a to proste tak, ze se napoji na original server a prihlasi se naprosto stejne jako vy. Proste klasiky middle in man attack.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 8. 2008 18:38

Karl von ... (neregistrovaný)

ano, ale clovek pred vami nemluvil o parodii na banku jmenem Ceska Siditelna... nybrz o te jedine a nej bance, ktera ma takove a mnohe lepsi vychytavky jiz 10let ;)
takze male "surprise" pro vas:
- sms prijde a je pouzitelna jednou jedinkrat (pro prihlaseni/transakci), takze se utocnik prihlasi a vidi vas zustatek - OK souhlasim
- utocnik si chce zridit prikaz - posle si dalsi SMS a kam ji zadate? - pokud si chcete zalozit transakci vy, a utocnik vam podstrci jinou sumu nebo ucet, tak to v SMS vidite...
(jeste podotykam, ze pokud zde chcete spekulovat o tom, ze vlastne utocnik je schopen poslat jine udaje vam a jine udaje sobe, tak to bohuzel nejde, jiste chapete - prisly by vam 2 sms) ;)

takze se ptam: ktery dobrodruh je ochoten pouzivat tu zasr. parodii na banku jmenem Ceska Siditelna?? :-D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 8. 2008 23:19

anonymní

Ceska Siditelna, to je ta nechutně drahá banka, jak teď zrovna všechny její klienty pěkně napálili, když banku zlikvidovali a ony klienty přehráli pod die flugel úplně jiné?
Snad jen pro informaci, popsaným způsobem fungují autorizace transakcí také u jiných bank, neznalost reálné situace nijak nezavdává k oprávnění prohlášení, že tomu tak není.
No a konečně, člověk, kterého nezastaví informace webového prohlížeče o fujtajbl certifikátu, nezastaví ani nějaká nesmyslná čísla v sms, kterou nutně potřebuje pro zaplacení účtu za telefon, nájmu, nebo čehokoli jiného...
Nezbývá než doufat, že drtivá většina lidí se řadí do skupiny, jež si čte dialogy dříve než stiskne tlačítko "Ok", "Yes", "Ano", "Sere pes"... Takovou naději ovšem trochu kazí skutečnost, že i někteří IT profesionálové mají mnohdy problémy pochopit, že podle názvu, IP adresy, MAC či čehokoli podobného není možné jednoznačně a bezpečně identifikovat zařízení v síti. ;-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 8. 2008 22:59

Sten (neregistrovaný)

Tahle chyba je dost stará a asi tak účinná, jako man-in-the-middle attack. A právě kvůli tomuhle jsou SSL certifikáty vydávány na doménu a podepisované důvěryhodnými autoritami.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 8. 2008 23:17

duri (neregistrovaný)

V tomto pripade sa jedna o nedostatocne zabespecenie DNS protokolu. Kazdy dns request obsahuje cookie ktore by malo suhlasit s cokie v reply. Problem je v tom ze to cookie je len 16bitove. Druhym problemom je ze bind (a asi aj mnoho inych DNS serverov) pouziva pre dns request stale ten isty port, nahodne vybrany pri starte servera. Tzn utocnik ma vysoku sancu ze dokaze podstrcit reply ktore bude obsahot rovnaky cookie ako bol v request.

Jednym z rieseni problemu je nahodna volba zdrojoveho portu requestu, a udrziavanie stavovej informacie o cookie a zdrojovom porte requestu a porovnavanie tychto informacii pri pri spracovani reply. Aj napriek tomuto vsak zabespecenie nieje 100%, pretoze nahodnost vyberu sa zvysi len na 32bitov ... Tymto sposobom tento problem "opravuju" napr. vsetky aktualne verzie bindu.

Skutocnym 100% riesenim problemu je vsak nasadenie dnssec protokolu.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 8. 2008 23:31

duri (neregistrovaný)

tento test je lepsi ako ten uvedeny v clanku: http://member.dnsstuff.com/tools/vu800113.php
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Líbí

Nelíbí

Adam Štrauch

Adam Štrauch je redaktorem serveru Root.cz a svobodný software nasazuje jak na desktopech tak i na routerech a serverech. Ve svém volném čase se stará o komunitní síť, ve které je již přes 100 členů.

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Adam Štrauch

DNS cache poisoning útoky

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Adam Štrauch

Dále u nás najdete

Jsou prompty pro AI chatboty autorským dílem?

ČT musela upravit reportáž v iVysílání

Vypněte si sledování v novém Firefoxu

Motání hlavy může být způsobeno problémy s krčními tepnami

Výrobce koupelnového vybavení Laufen čeká oživení poptávky

„Letní sádra“ sice může do vody, na plavání a tobogány ale zapomeňte

Vesna a další, kdo přežili volný pád z několika kilometrů

Trdlokafe otevřelo první pobočku v USA

Tesco na jedné straně plasty šetří, na druhé jimi ale plýtvá

Změny v českém maloobchodu, Electro World se mění na Datart

Jednu vanilkovou, nebo spíš kopeček slaného karamelu?

Chráníme totožnost podatele podnětu, tvrdil úřad

Průjmů z masa je letos víc než jindy, nakazit se lze i z melounů

Jejich čaje mají poctivé složení i originální názvy

Albert testuje umělou inteligenci, ušetří čas pokladním i zákazníkům

Musk: Humanoidní roboty začne Tesla používat už příští rok

Nevyléčitelně nemocní získají příspěvek automaticky

Test Wi-Fi 7 vs. Wi-Fi 6: Další zvýšení rychlostí

Jak se daří novým televizním stanicím?

Příčina obřího IT výpadku? Chyba aktualizace