Attacking The DNS Protocol
DNS adalah sebuah protokol berat digunakan pada Internet belum memiliki banyak keamanan pertimbangan. Makalah ini sementara mengandung sesuatu yang baru pada DNS keamanan menyatukan dalam satu mendokumentasikan banyak helai keamanan DNS yang telah diterbitkan dan dilaporkan banyak publikasi terpisah sebelum. Dengan demikian dokumen ini bermaksud untuk bertindak sebagai single titik acuan untuk keamanan DNS.
DNS Poison Serangan
Jika penyerang berhasil informasi palsu akan disimpan dalam cache ns1.sa.com ini. Catatan ini sangat banyak nama server untuk server nama serangan yang akan mempengaruhi klien yang menggunakan server nama target dengan informasi palsu. BIND transaksional ID adalah di kisaran 1-65535. Ingat bagaimana tiga informasi yang diperlukan untuk permintaan yang akan diterima, terutama ID transaksi, sumber IP dan port sumber. Mengetahui sumber IP lurus ke depan seperti yang kita tahu alamat dari server nama yang akan bertanya. Itu port sumber namun menyajikan sebuah tantangan.
Lebih sering daripada tidak BIND akan menggunakan kembali port sumber yang sama untuk permintaan atas nama klien yang sama yaitu server nama BIND. Oleh karena itu, jika seorang penyerang bekerja dari berwibawa nama server, ia pertama kali bisa mengeluarkan permintaan untuk lookup DNS dari hostname di server-nya dari server target dan ketika paket query rekursif tiba port sumber dapat diperoleh.
Kemungkinan ini akan menjadi port sumber yang sama yang digunakan saat korban mengirimkan query untuk domain yang akan dibajak. Perhatikan output di bawah mengendus tiga berikutnya permintaan untuk nama domain yang berbeda:
172.16.1.2.22343> 128.1.4.100.53
172.16.1.2.22343> 23.55.3.56.53
172.16.1.2.22343> 42.14.212.5.53
Semua tiga pertanyaan yang digunakan sumber pelabuhan 22.343 sedangkan query empat server nama yang berbeda.
DNS Poison Serangan
Versi BIND 4 dan 8 penggunaan transaksi berurutan ID ini. Ini berarti penyerang bisa dengan mudah menemukan arus ID hanya dengan membuat query ke server dan mengamati Nomor ID dan berada dalam pengetahuan bahwa permintaan BIND berikutnya akan membuat mengatakan Server nama lain akan hanya 1 dari nilai ini. BIND versi 9 menetapkan ID transaksi ini secara acak dan tidak mengirim beberapa pertanyaan rekursif untuk nama domain yang sama.
Contoh dari Serangan Cache Poisoning pada Server DNS
Kami akan memeriksa dua skrip yang telah dirilis yang menyediakan demonstrasi serangan cache poisoning. Asumsikan nama server target kami adalah ns1.sa.com (12.12.12.12) dan kami ingin racun cache untuk percaya www.microsoft.com memutuskan untuk 10.10.10.10 dengan harapan bahwa semua query masa depan itu akan menerima untuk TTL informasi ini dalam cache akan dimodifikasi dalam contoh kita untuk mendapatkan sumber port dari server DNS. Perlu dijalankan dari server nama otoritatif yang penyerang mengontrol untuk query target server nama untuk nama host yang mesin penyerang otoritatif. Katakanlah dalam contoh kita script berjalan dari ns1.happydays.com dan penyerang query server nama target untukwww.happydays.com:
dns1.pl 12.12.12.12 www.happydays.com
port sumber: 54532
Setelah memperoleh sumber port kita menjalankan skrip kedua ditulis oleh Ramon Izaguirre disebut hds0.pl (script ini membutuhkan RAW IP Perl Module) yang benar-benar mengeksekusi serangan itu.
./hds0.pl 13.13.13.13 12.12.12.12 54.532 www.microsoft.com 10.10.10.10 (ns1.microsoft.com) (ns1.sa.com) (port sumber) (target spoof)
Untuk mengamati apakah serangan itu berhasil hanya query server nama sasaran:
menggali @ 12.12.12.12 www.microsoft.com
www.microsoft.com 86400 IN A 10.10.10.10
Dalam kasus di atas www.microsoft.com memutuskan untuk 10.10.10.10, maka serangan itu memiliki berhasil. Perhatikan bahwa jika serangan itu berhasil dan alamat IP yang benar untuk www.microsoft.com diperoleh bahwa Anda akan harus menunggu selama TTL berakhir pada cache sebelum Anda dapat mencoba lagi. Selain itu, ada kemungkinan domain microsoft.com memiliki lebih dari satu server DNS, sangat mungkin bahwa hal itu juga memiliki server ns2.microsoft.com. Penyerang tidak tahu yang mana dari server DNS otoritatif dari domain target akan mendapatkan bertanya.
DNS Man di Serangan Tengah - DNS Pembajakan
Jika seorang penyerang dapat menyisipkan dirinya di antara klien dan server DNS ia mungkin dapat mencegat balasan untuk nama klien permintaan resolusi dan mengirim palsu pemetaan informasi alamat ke alamat yang salah. Jenis serangan sangat banyak kondisi lomba, di bahwa penyerang perlu mendapatkan jawabannya kembali ke klien sebelum server yang sah tidak. Kemungkinan dapat ditumpuk dalam mendukung para client sebagai sejumlah pertanyaan rekursif mungkin perlu dibuat dan penyerang mungkin dapat memperlambat DNS server utama klien turun dengan menggunakan denial of service menyerang.
Untuk mengeksekusi serangan ini sebuah alat yang disebut DNS Pembajakdigunakan dan dijalankan pada penyerang Pria di mesin tengah. DNS Pembajak menggunakan tabel fabrikasi untuk menyimpan informasi dipalsukan untuk dikembalikan.
SUMBER: Attacking The DNS Protocol
Tidak ada komentar:
Posting Komentar