Атаки на DNS.
Атаки на DNS.
Отравление кеша DNS (атака Каминского).
Для реализации атаки злоумышленник может использовать уязвимость в программном обеспечении DNS. Если сервер не проверяет ответы DNS на корректность, чтобы убедиться в их авторитетном источнике (например, при помощи DNSSEC), он будет кешировать некорректные ответы локально и использовать их для ответов на запросы других пользователей, пославших такие же запросы.
Приведу несколько примеров атаки. Будем считать, что запись A для сервера ns.victim.com будет заменена (кеш будет отравлен) и станет указывать на DNS-сервер атакующего с IP-адресом 1.1.1.1. В примере подразумевается, что DNS-сервером victim.com является ns.victim.com.
Чтобы выполнить такую атаку, атакующий должен заставить DNS-сервер-жертву выполнить запрос о любом из доменов, для которого DNS-сервер атакующего является авторитетным.
Первый вариант отравления DNS-кеша заключается в перенаправлении DNS-сервера, авторитетного для домена злоумышленника, на DNS-сервер домена-жертвы, т. е. назначении DNS-серверу IP-адреса, указанного злоумышленником.
Запрос от DNS-сервера жертвы: какова A-запись для subdomain.hacker.com?
subdomain.hacker.com. IN A
Ответ злоумышленника:
Answer:
(no response)
Authority section:
hacker.com. 3600 IN NS ns.victim.com.
Additional section:
ns.victim.com. IN A 1.1.1.1
Атакуемый сервер сохранит A-запись (IP-адрес) ns.victim.com, указанную в дополнительной секции, в кеше, что позволит атакующему отвечать на последующие запросы для всего домена victim.com.
Другим способом атаки является подмена NS-записи для иного домена жертвы.
Второй вариант атаки заключается в перенаправлении DNS-сервера другого домена, не относящегося к первоначальному запросу, на IP-адрес, указанный атакующим.
Запрос DNS-сервера: какова A-запись для subdomain.victim.com?
subdomain.hacker.com. IN A
Ответ злоумышленника:
Answer:
(no response)
Authority section:
victim.com. 3600 IN NS ns.hacker.com.
Additional section:
ns.hacker.com. IN A 1.1.1.1
Атакуемый сервер сохранит не относящуюся к запросу информацию о NS-записи для victim.com в кеше, что позволит атакующему отвечать на последующие запросы для всего домена victim.com.
Возможность для реализации атаки существует из-за того, что DNS-сервер использует предсказуемый номер порта для отправки DNS-запросов. Злоумышленник может угадать номер порта, который используется для отправки данных, и с помощью специально сформированного ложного DNS-ответа подменить данные в кеше DNS-сервера.
Примером реализации атаки на отравление DNS-кеша можно считать экс-плойт, разработанный для системы Metasploit,
Для устранения уязвимости необходимо установить исправления не только на хосты, которые находятся под вашим контролем, но и на все серверы имен, которые участвуют в обмене данными, иначе всегда будет существовать возможность спуфинг-атаки.
Исправления доступны для Windows, Linux, UNIX и других систем. Для получения исправления обратитесь к соответствующему производителю.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
DNS attacks.
DNS cache poisoning (Kaminsky attack).
To implement the attack, an attacker can exploit a vulnerability in the DNS software. If the server does not check DNS responses for correctness to verify their authoritative source (for example, using DNSSEC), it will cache incorrect responses locally and use them to respond to requests from other users who have sent the same requests.
Here are some examples of attacks. Let's assume that record A is for the server ns.victim.com it will be replaced (the cache will be poisoned) and will point to the attacker's DNS server with the IP address 1.1.1.1. In the example, it is assumed that the DNS server victim.com is ns.victim.com .
To perform such an attack, the attacker must force the victim's DNS server to make a request for any of the domains for which the attacker's DNS server is authoritative.
The first option for poisoning the DNS cache is to redirect the DNS server that is authoritative for the attacker's domain to the DNS server of the victim domain, i.e. assign the IP address specified by the attacker to the DNS server.
Query from the victim's DNS server: what is the A-record for subdomain.hacker.com ?
subdomain.hacker.com . IN A
The attacker's response:
Answer:
(no response)
Authority section:
hacker.com. 3600 IN NS ns.victim.com.
Additional section:
ns.victim.com. IN A 1.1.1.1
The attacked server will save the A record (IP address) ns.victim.com specified in the additional section in the cache, which will allow the attacker to respond to subsequent requests for the entire domain victim.com .
Another method of attack is to substitute an NS record for a different domain of the victim.
The second attack option is to redirect the DNS server of another domain unrelated to the original request to the IP address specified by the attacker.
DNS Server query: What is the A-record for subdomain.victim.com?
subdomain.hacker.com. IN A
The attacker's response:
Answer:
(no response)
Authority section:
victim.com. 3600 IN NS ns.hacker.com.
Additional section:
ns.hacker.com IN A 1.1.1.1
, the attacked server will save information about the NS record that is not relevant to the request for victim.com in the cache, which will allow the attacker to respond to subsequent requests for the entire domain. victim.com .
The possibility for an attack exists due to the fact that the DNS server uses a predictable port number to send DNS requests. An attacker can guess the port number that is used to send data, and use a specially generated false DNS response to replace the data in the DNS server cache.
An example of implementing a DNS cache poisoning attack is an ex-plot developed for the Metasploit system.,
To eliminate the vulnerability, it is necessary to install fixes not only on the hosts that are under your control, but also on all name servers that participate in data exchange, otherwise there will always be the possibility of a spoofing attack.
Fixes are available for Windows, Linux, UNIX, and other systems. Please contact the relevant manufacturer to receive a fix.
Oleg Petukhov, lawyer in the field of international law and personal data protection, information security specialist security, protection of information and personal data.
Telegram channel: https://t.me/protectioninformation
Telegram Group: https://t.me/informationprotection1
Website: https://legascom.ru
Email: online@legascom.ru
#informationprotection #informationsecurity
DNS-Angriffe.
DNS-Cache-Vergiftung (Kaminsky-Angriff).
Ein Angreifer könnte eine Sicherheitsanfälligkeit in DNS-Software ausnutzen, um einen Angriff zu implementieren. Wenn der Server die DNS-Antworten nicht auf ihre Richtigkeit überprüft, um sicherzustellen, dass sie von einer seriösen Quelle stammen (z. B. mithilfe von DNSSEC), werden die falschen Antworten lokal zwischengespeichert und verwendet, um auf Anfragen anderer Benutzer zu antworten, die dieselben Anfragen gesendet haben.
Ich werde einige Beispiele für einen Angriff nennen. Nehmen wir an, dass der A-Eintrag für den Server ns.victim.com wird ersetzt (der Cache wird vergiftet) und zeigt auf den DNS-Server des Angreifers mit der IP-Adresse 1.1.1.1. Im Beispiel wird davon ausgegangen, dass der DNS-Server victim.com ist ns.victim.com .
Um einen solchen Angriff auszuführen, muss der Angreifer den DNS-Server des Opfers dazu zwingen, eine Abfrage über eine der Domänen durchzuführen, für die der DNS-Server des Angreifers autoritativ ist.
Die erste Möglichkeit, den DNS-Cache zu vergiften, besteht darin, den für die Domäne des Angreifers maßgeblichen DNS-Server an den DNS-Server der Domäne des Opfers weiterzuleiten, dh dem DNS-Server die vom Angreifer angegebene IP-Adresse zuzuweisen.
Anfrage vom DNS-Server des Opfers: Was ist der A-Eintrag für subdomain.hacker.com ?
subdomain.hacker.com. IN A
Antwort des Angreifers:
Answer:
(no response)
Authority section:
hacker.com. 3600 IN NS ns.victim.com.
Additional section:
ns.victim.com. IN A 1.1.1.1
Der angegriffene Server speichert den A-Eintrag (IP-Adresse) ns.victim.com in der zusätzlichen Partition im Cache angegeben, sodass der Angreifer auf nachfolgende Anfragen für die gesamte Domäne reagieren kann victim.com .
Eine andere Angriffsmethode besteht darin, den NS-Datensatz für eine andere Domäne des Opfers zu ersetzen.
Die zweite Angriffsoption besteht darin, den DNS-Server einer anderen Domäne, die nicht zur ursprünglichen Anforderung gehört, an die vom Angreifer angegebene IP-Adresse umzuleiten.
DNS-Serverabfrage: Was ist der A-Eintrag für subdomain.victim.com ?
subdomain.hacker.com. IN A
Antwort des Angreifers:
Answer:
(no response)
Authority section:
victim.com. 3600 IN NS ns.hacker.com.
Additional section:
ns.hacker.com. IN A 1.1.1.1
Der angegriffene Server speichert nicht anforderungsrelevante NS-Datensatzinformationen für victim.com im Cache, damit der Angreifer auf nachfolgende Anfragen für die gesamte Domain antworten kann victim.com .
Es besteht die Möglichkeit, einen Angriff zu implementieren, da der DNS-Server eine vorhersagbare Portnummer zum Senden von DNS-Abfragen verwendet. Ein Angreifer kann die Portnummer erraten, die zum Senden von Daten verwendet wird, und mithilfe einer speziell generierten falschen DNS-Antwort die Daten im Cache des DNS-Servers ersetzen.
Ein Beispiel für einen DNS-Cache-Vergiftungs-Angriff ist das für das Metasploit-System entwickelte Ex-Ploit,
Sie müssen Patches nicht nur auf Hosts installieren, die unter Ihrer Kontrolle stehen, sondern auch auf allen Nameservern, die an der Kommunikation beteiligt sind, um die Sicherheitsanfälligkeit zu beheben, sonst besteht immer die Möglichkeit eines Spoofing-Angriffs.
Fixes sind für Windows, Linux, UNIX und andere Systeme verfügbar. Wenden Sie sich an den jeweiligen Hersteller, um den Hotfix zu erhalten.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Attaques DNS.
Empoisonnement du cache DNS (attaque Kaminsky).
Un attaquant pourrait exploiter une vulnérabilité dans le logiciel DNS pour mettre en œuvre l'attaque. Si le serveur ne vérifie pas l'exactitude des réponses DNS pour s'assurer qu'elles proviennent d'une source faisant autorité (par exemple avec DNSSEC), il mettra en cache les réponses incorrectes localement et les utilisera pour répondre aux demandes des autres utilisateurs qui ont envoyé les mêmes demandes.
Je vais donner quelques exemples d'attaque. Supposons que l'entrée A pour le serveur ns.victim.com sera remplacé (le cache sera empoisonné) et pointera vers le serveur DNS de l'attaquant avec l'adresse IP 1.1.1.1. L'exemple implique que le serveur DNS victim.com est ns.victim.com.
Pour effectuer une telle attaque, l'attaquant doit forcer le serveur DNS de la victime à effectuer une requête sur l'un des domaines pour lesquels le serveur DNS de l'attaquant fait autorité.
La première option pour empoisonner le cache DNS consiste à rediriger le serveur DNS faisant autorité pour le domaine de l'attaquant vers le serveur DNS du domaine de la victime, c'est-à-dire à attribuer au serveur DNS l'adresse IP spécifiée par l'attaquant.
Requête du serveur DNS de la victime: quel est l'enregistrement A pour subdomain.hacker.com?
subdomain.hacker.com. IN A
Réponse de l'attaquant:
Answer:
(no response)
Authority section:
hacker.com. 3600 IN NS ns.victim.com.
Additional section:
ns.victim.com. IN A 1.1.1.1
Le serveur attaqué conservera l'enregistrement a (adresse IP) ns.victim.com spécifié dans la section supplémentaire, dans le cache, ce qui permettra à l'attaquant de répondre aux demandes suivantes pour l'ensemble du domaine victim.com.
Une autre méthode d'attaque consiste à usurper l'enregistrement NS pour un autre domaine de la victime.
La deuxième variante de l'attaque consiste à rediriger le serveur DNS d'un autre domaine non lié à la requête initiale vers l'adresse IP spécifiée par l'attaquant.
Requête du serveur DNS: quel est l'enregistrement A pour subdomain.victim.com?
subdomain.hacker.com. IN A
Réponse de l'attaquant:
Answer:
(no response)
Authority section:
victim.com. 3600 IN NS ns.hacker.com.
Additional section:
ns.hacker.com. IN A 1.1.1.1
Le serveur attaqué conservera les informations d'enregistrement NS non liées à la requête pour victim.com dans le cache, ce qui permettra à l'attaquant de répondre aux demandes suivantes pour l'ensemble du domaine victim.com.
La possibilité d'implémenter une attaque existe parce que le serveur DNS utilise un numéro de port prévisible pour envoyer des requêtes DNS. Un attaquant peut deviner le numéro de port utilisé pour envoyer les données et utiliser une fausse réponse DNS spécialement formée pour usurper les données dans le cache du serveur DNS.
Un exemple de mise en œuvre d'une attaque contre l'empoisonnement du cache DNS peut être considéré comme ex-ploit, développé pour le système Metasploit,
Pour corriger la vulnérabilité, vous devez installer des correctifs non seulement sur les hôtes qui sont sous votre contrôle, mais également sur tous les serveurs de noms impliqués dans l'échange de données, sinon il y aura toujours une possibilité d'usurpation d'identité.
Les correctifs sont disponibles pour Windows, Linux, UNIX et d'autres systèmes. Pour obtenir le correctif, contactez le Fabricant approprié.
Petukhov Oleg, avocat en droit international et protection des données personnelles, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Telegram Channel: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
E-mail: online@legascom.ru
#sécuritéinformations #informationsécurité
Attaques DNS.
Empoisonnement du cache DNS (attaque Kaminsky).
Un attaquant pourrait exploiter une vulnérabilité dans le logiciel DNS pour mettre en œuvre l'attaque. Si le serveur ne vérifie pas l'exactitude des réponses DNS pour s'assurer qu'elles proviennent d'une source faisant autorité (par exemple avec DNSSEC), il mettra en cache les réponses incorrectes localement et les utilisera pour répondre aux demandes des autres utilisateurs qui ont envoyé les mêmes demandes.
Je vais donner quelques exemples d'attaque. Supposons que l'entrée A pour le serveur ns.victim.com sera remplacée (le cache sera empoisonné) et pointera vers le serveur DNS de l'attaquant avec l'adresse IP 1.1.1.1. L'exemple implique que le serveur DNS victim.com est ns.victim.com.
Pour effectuer une telle attaque, l'attaquant doit forcer le serveur DNS de la victime à effectuer une requête sur l'un des domaines pour lesquels le serveur DNS de l'attaquant fait autorité.
La première option pour empoisonner le cache DNS consiste à rediriger le serveur DNS faisant autorité pour le domaine de l'attaquant vers le serveur DNS du domaine de la victime, c'est-à-dire à attribuer au serveur DNS l'adresse IP spécifiée par l'attaquant.
Requête du serveur DNS de la victime : quel est l’enregistrement A pour subdomain.hacker.com ?
subdomain.hacker.com. À
Réponse de l'attaquant :
Réponse :
(pas de réponse)
Section de l'autorité :
hacker.com. 3600 IN NS ns.victim.com.
Section supplémentaire :
ns.victim.com. À 1.1.1.1
Le serveur attaqué conservera l'enregistrement a (adresse IP) ns.victim.com spécifié dans la section supplémentaire, dans le cache, ce qui permettra à l'attaquant de répondre aux demandes suivantes pour l'ensemble du domaine victim.com.
Une autre méthode d'attaque consiste à usurper l'enregistrement NS pour un autre domaine de la victime.
La deuxième variante de l'attaque consiste à rediriger le serveur DNS d'un autre domaine non lié à la requête initiale vers l'adresse IP spécifiée par l'attaquant.
Requête du serveur DNS : quel est l’enregistrement A pour subdomain.victim.com ?
subdomain.hacker.com. À
Réponse de l'attaquant :
Réponse :
(pas de réponse)
Section de l'autorité :
victim.com. 3600 IN NS ns.hacker.com.
Section supplémentaire :
ns.hacker.com. À 1.1.1.1
Le serveur attaqué conservera les informations d'enregistrement NS non liées à la requête pour victim.com dans le cache, ce qui permettra à l'attaquant de répondre aux demandes suivantes pour l'ensemble du domaine victim.com.
La possibilité d'implémenter une attaque existe parce que le serveur DNS utilise un numéro de port prévisible pour envoyer des requêtes DNS. Un attaquant peut deviner le numéro de port utilisé pour envoyer les données et utiliser une fausse réponse DNS spécialement formée pour usurper les données dans le cache du serveur DNS.
Un exemple de mise en œuvre d'une attaque contre l'empoisonnement du cache DNS peut être considéré comme un ex-ploit, développé pour le système Metasploit,
Pour corriger la vulnérabilité, vous devez installer des correctifs non seulement sur les hôtes qui sont sous votre contrôle, mais également sur tous les serveurs de noms impliqués dans l'échange de données, sinon il y aura toujours une possibilité d'usurpation d'identité.
Les correctifs sont disponibles pour Windows, Linux, UNIX et d'autres systèmes. Pour obtenir le correctif, contactez le fabricant approprié.
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel: online@legascom.ru
#sécuritéinformations #informationsécurité
Ataques al DNS.
Envenenamiento de caché DNS (ataque Kaminsky).
Para implementar el ataque, un atacante podría explotar una vulnerabilidad en el software DNS. Si el servidor no comprueba si las respuestas DNS son correctas para verificar su origen autorizado (por ejemplo, con DNSSEC), almacenará en caché las respuestas incorrectas localmente y las usará para responder a las solicitudes de otros usuarios que enviaron las mismas solicitudes.
Daré algunos ejemplos de ataque. Supongamos que el registro A es para el servidor ns.victim.com se reemplazará (la caché se envenenará) y apuntará al servidor DNS del atacante con la dirección IP 1.1.1.1. El ejemplo implica que el servidor DNS victim.com es ns.victim.com.
Para realizar un ataque de este tipo, el atacante debe obligar al servidor DNS de la víctima a realizar una consulta sobre cualquiera de los dominios para los cuales el servidor DNS del atacante es autoritario.
La primera opción para envenenar el caché DNS es redirigir el servidor DNS autorizado para el dominio del atacante al servidor DNS del dominio de la víctima, es decir, asignar al servidor DNS la dirección IP especificada por el atacante.
Consulta del servidor DNS de la víctima: ¿Cuál es el registro A para subdomain.hacker.com?
subdomain.hacker.com. IN A
Respuesta del atacante:
Answer:
(no response)
Authority section:
hacker.com. 3600 IN NS ns.victim.com.
Additional section:
ns.victim.com. IN A 1.1.1.1
El servidor atacado conservará el registro a (dirección IP) ns.victim.com especificado en una sección adicional, en la memoria caché, lo que permitirá al atacante responder a solicitudes posteriores para todo el dominio victim.com.
Otra forma de ataque es suplantar el registro NS para un dominio diferente de la víctima.
La segunda opción de ataque es redirigir el servidor DNS de otro dominio que no sea la solicitud original a la dirección IP especificada por el atacante.
Consulta del servidor DNS: ¿Cuál es el registro a para subdomain.victim.com?
subdomain.hacker.com. IN A
Respuesta del atacante:
Answer:
(no response)
Authority section:
victim.com. 3600 IN NS ns.hacker.com.
Additional section:
ns.hacker.com. IN A 1.1.1.1
El servidor atacado almacenará la información de registro NS no solicitada para victim.com en la memoria caché, lo que permitirá al atacante responder a solicitudes posteriores para todo el dominio victim.com.
Existe la posibilidad de implementar un ataque debido al hecho de que el servidor DNS utiliza un número de puerto predecible para enviar solicitudes DNS. Un atacante puede adivinar el número de puerto que se utiliza para enviar los datos y usar una respuesta DNS falsa especialmente generada para suplantar los datos en la memoria caché del servidor DNS.
Un ejemplo de la implementación de un ataque de envenenamiento de caché DNS puede considerarse ex-ployt, desarrollado para el sistema Metasploit,
Para resolver la vulnerabilidad, debe instalar parches no solo en los hosts que están bajo su control, sino también en todos los servidores de nombres que participan en el intercambio de datos, de lo contrario siempre habrá la posibilidad de un ataque de suplantación.
Las correcciones están disponibles para Windows, Linux, UNIX y otros sistemas. Póngase en contacto con el fabricante correspondiente para obtener una solución.
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
Ataques ao DNS.
Envenenamento de cache DNS (ataque de Kaminsky)
Para realizar um ataque, um invasor pode explorar uma vulnerabilidade no software DNS. Se o servidor não verificar se as respostas DNS estão corretas para verificar se elas são de origem confiável (por exemplo, usando DNSSEC), ele armazenará em cache as respostas incorretas localmente e as usará para responder a solicitações de outros usuários que enviarem as mesmas solicitações.
Vou dar alguns exemplos de ataques. Vamos supor que a entrada A para o servidor ns.victim.com será substituído (o Cache será envenenado) e apontará para o servidor DNS do atacante com o endereço IP 1.1.1.1. O exemplo sugere que o servidor DNS victim.com é ns.victim.com.
Para executar tal ataque, o atacante deve forçar o servidor DNS da vítima a executar uma consulta sobre qualquer um dos domínios para os quais o servidor DNS do atacante é autoritário.
A primeira opção para o envenenamento de cache DNS é redirecionar o servidor DNS autoritativo para o domínio do invasor para o servidor DNS do domínio vítima, ou seja, atribuir ao servidor DNS o endereço IP especificado pelo invasor.
Consulta do servidor DNS da vítima: Qual é o registro A para subdomain.hacker.com?
subdomain.hacker.com. IN A
Resposta do intruso:
Answer:
(no response)
Authority section:
hacker.com. 3600 IN NS ns.victim.com.
Additional section:
ns.victim.com. IN A 1.1.1.1
O servidor atacado armazenará um registro A (endereço IP) ns.victim.com especificado na seção adicional, no cache, o que permitirá que o atacante responda a solicitações subsequentes para todo o domínio victim.com.
Outro método de ataque é substituir um registro NS para outro domínio da vítima.
A segunda opção de ataque é redirecionar o servidor DNS de outro domínio que não seja a consulta original para o endereço IP especificado pelo atacante.
Consulta do servidor DNS: Qual é o registro A para subdomain.victim.com?
subdomain.hacker.com. IN A
Resposta do intruso:
Answer:
(no response)
Authority section:
victim.com. 3600 IN NS ns.hacker.com.
Additional section:
ns.hacker.com. IN A 1.1.1.1
O servidor atacado armazenará informações de registro NS não relacionadas à solicitação para victim.com em cache, permitindo que o invasor responda a solicitações subsequentes para todo o domínio victim.com.
O ataque é possível porque o servidor DNS usa um número de porta previsível para enviar consultas DNS. Um invasor pode adivinhar o número da porta que está sendo usada para enviar os dados e usar uma resposta DNS falsa especialmente gerada para substituir os dados no cache do servidor DNS.
Um exemplo de um ataque de envenenamento de cache DNS é o ex-ployt, desenvolvido para o sistema Metasploit,
Para corrigir a vulnerabilidade, é necessário instalar correções não apenas nos hosts que você controla, mas também em todos os servidores de nomes que participam da troca de dados, caso contrário, sempre haverá a possibilidade de um ataque de spoofing.
As correções estão disponíveis para Windows, Linux, UNIX e outros sistemas. Entre em contato com o fabricante apropriado para obter a correção.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
Ataques DNS.
Envenenamento de cache DNS (ataque Kaminsky).
Para implementar o ataque, um invasor pode explorar uma vulnerabilidade no software DNS. Se o servidor não verificar se as respostas DNS estão corretas para verificar sua fonte autorizada (por exemplo, usando DNSSEC), ele armazenará em cache respostas incorretas localmente e as usará para responder a solicitações de outros usuários que enviaram as mesmas solicitações.
Veja alguns exemplos de ataques. Vamos supor que o registro A é para o servidor ns.victim.com ele será substituído (o cache será envenenado) e apontará para o servidor DNS do invasor com o endereço IP 1.1.1.1. No exemplo, supõe-se que o servidor DNS victim.com é ns.victim.com .
Para realizar tal ataque, o invasor deve forçar o servidor DNS da vítima a fazer uma solicitação para qualquer um dos domínios para os quais o servidor DNS do invasor é autoritário.
A primeira opção para envenenar o cache DNS é redirecionar o servidor DNS que tem autoridade para o domínio do invasor para o servidor DNS do domínio da vítima, ou seja, atribuir o endereço IP especificado pelo invasor ao servidor DNS.
Consulta do servidor DNS da vítima: para que serve o registro A subdomain.hacker.com ?
subdomain.hacker.com . EM UM
A resposta do atacante:
Resposta:
(sem resposta)
Seção de autoridade:
hacker.com. 3600 em NS ns.victim.com.
Seção adicional:
ns.victim.com. em um 1.1.1.1
O servidor atacado salvará o registro A (endereço IP) ns.victim.com especificado na seção adicional no cache, que permitirá que o invasor responda a solicitações subsequentes para todo o domínio victim.com .
Outro método de ataque é substituir um registro NS por um domínio diferente da vítima.
A segunda opção de ataque é redirecionar o servidor DNS de outro domínio não relacionado à solicitação original para o endereço IP especificado pelo invasor.
Consulta ao servidor DNS: para que serve o registro A subdomain.victim.com?
subdomain.hacker.com. em um
A resposta do atacante:
Resposta:
(sem resposta)
Seção de autoridade:
victim.com. 3600 em NS ns.hacker.com.
Seção adicional:
ns.hacker.com em um 1.1.1.1
, o servidor atacado salvará informações sobre o registro NS que não são relevantes para a solicitação de victim.com no cache, o que permitirá que o invasor responda a solicitações subsequentes para todo o domínio. victim.com .
A possibilidade de um ataque existe devido ao fato de que o servidor DNS usa um número de porta previsível para enviar solicitações DNS. Um invasor pode adivinhar o número da porta usada para enviar dados e usar uma resposta DNS falsa especialmente gerada para substituir os dados no cache do servidor DNS.
Um exemplo de implementação de um ataque de envenenamento de cache DNS é um ex-plot desenvolvido para o sistema Metasploit.,
Para eliminar a vulnerabilidade, é necessário instalar correções não apenas nos hosts que estão sob seu controle, mas também em todos os servidores de nomes que participam da troca de dados, caso contrário, sempre haverá a possibilidade de um ataque de spoofing.
As correções estão disponíveis para Windows, Linux, UNIX e outros sistemas. Entre em contato com o fabricante relevante para receber uma correção.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
Attacchi al DNS.
Avvelenamento della cache DNS (attacco Kaminsky).
Per implementare un attacco, un utente malintenzionato potrebbe sfruttare una vulnerabilità nel software DNS. Se il server non verifica la correttezza delle risposte DNS per assicurarsi che siano attendibili (ad esempio, utilizzando DNSSEC), memorizzerà nella cache le risposte errate localmente e le utilizzerà per rispondere alle richieste di altri utenti che hanno inviato le stesse richieste.
Darò alcuni esempi di attacco. Supponiamo che il record A sia per il server ns.victim.com verrà sostituito (la cache verrà avvelenata) e punterà al server DNS dell'attaccante con L'indirizzo IP 1.1.1.1. L'esempio implica che il server DNS victim.com è ns.victim.com.
Per eseguire un tale attacco, l'attaccante deve fare in modo che il server DNS della vittima esegua una query su uno qualsiasi dei domini per i quali il server DNS dell'attaccante è autorevole.
La prima opzione per avvelenare la cache DNS consiste nel reindirizzare il server DNS autorevole per il dominio dell'attaccante al server DNS del dominio della vittima, ovvero assegnare al server DNS l'indirizzo IP specificato dall'attaccante.
Query dal server DNS della vittima: qual è il record A per subdomain.hacker.com?
subdomain.hacker.com. IN A
Risposta dell'attaccante:
Answer:
(no response)
Authority section:
hacker.com. 3600 IN NS ns.victim.com.
Additional section:
ns.victim.com. IN A 1.1.1.1
Il server attaccato salverà il record A (indirizzo IP) ns.victim.com specificato nella sezione aggiuntiva nella cache, che consentirà all'attaccante di rispondere alle richieste successive per l'intero dominio victim.com.
Un altro metodo di attacco consiste nello spoofing di un record NS per un altro dominio della vittima.
La seconda opzione di attacco consiste nel reindirizzare il server DNS di un altro dominio non specifico per la richiesta iniziale all'indirizzo IP fornito dall'attaccante.
Query del server DNS: qual è il record A per subdomain.victim.com?
subdomain.hacker.com. IN A
Risposta dell'attaccante:
Answer:
(no response)
Authority section:
victim.com. 3600 IN NS ns.hacker.com.
Additional section:
ns.hacker.com. IN A 1.1.1.1
Il server attaccato salverà le informazioni sul record NS non richieste per victim.com nella cache, che consentirà all'attaccante di rispondere alle richieste successive per l'intero dominio victim.com.
La possibilità di implementare l'attacco esiste perché il server DNS utilizza un numero di porta prevedibile per inviare query DNS. Un utente malintenzionato può indovinare il numero di porta utilizzato per inviare i dati e, utilizzando una risposta DNS falsa appositamente formata, falsificare i dati nella cache del server DNS.
Un esempio di implementazione di un attacco di avvelenamento della cache DNS può essere considerato ex-ployt, sviluppato per il sistema Metasploit,
Per risolvere la vulnerabilità, è necessario installare patch non solo sugli host che sono sotto il tuo controllo, ma anche su tutti i server dei nomi coinvolti nella comunicazione, altrimenti ci sarà sempre la possibilità di un attacco di spoofing.
Le correzioni sono disponibili per Windows, Linux, UNIX e altri sistemi. Per ottenere la correzione, contattare il produttore appropriato.
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
