Опубликован код эксплоита для атаки на Dns серверы

Тема в разделе "Мегафлуд", создана пользователем tod, 25 июл 2008.

Статус темы:
Закрыта.
  1. tod

    tod Создатель

    Регистр.:
    28 мар 2007
    Сообщения:
    28
    Симпатии:
    2
    Две недели назад исследователь Дэн Каминский (Dan Kaminsky) объявил об обнаружении метода помещения не соответствующих реальности данных в кэш DNS сервера. Теоретическая возможность такой атаки, вызванной недостаточным размером поля с идентификационным номером запроса (под query id отдано 16 бит) в DNS пакете, была предсказана ранее, но до сих пор относилась к разряду труднореализуемых на практике. Рабочий код с демонстрацией подмены доменного имени и полное описание новой техники DNS спуффинга планировалось опубликовать на конференции "Black Hat", которая состоится 7 августа, дав администраторам время на обновление программного обеспечения.


    Из-за утечки информации от компании Matasano, получившей полные сведения о методе Каминского, уже спустя несколько часов был разработан эксплоит для данного вида атак, который представлен для свободной загрузки.

    Перейти по ссылке

    Эксплоит представлен в формате для использования совместно с утилитой Metasploit, предназначенной для проверки безопасности на наличие проблем безопасности.



    В демонстрационном примере показано, как пользователь, имеющий доступ к DNS серверу осуществляющему рекурсивные запросы, может подменить IP адрес для несуществующего хоста отправив порядка 7000 фиктивных запросов и одновременно 140 тысяч фиктивных ответов. Общее время, необходимое для осуществления успешной атаки на сервер с BIND 9.4.2 составляет 1-2 минуты (Дэн Каминский ранее заявлял, что его метод реализует атаку за считанные секунды). Полное описание метода атаки можно прочитать здесь.

    Перейти по ссылке



    Администраторам рекомендуется срочно произвести обновление BIND до версий 9.5.0-P1, 9.4.2-P1, 9.3.5-P1, а при использовании другого DNS сервера уточнить наличие уязвимости и исправлений. Например, при выборочной проверке крупных операторов связи выяснилось, что DNS серверы таких провайдеров, как SBC/AT&T, Comcast, Sprinklink, Verizon, Adelphia и Earthlink, уязвимы для данного вида атак.
     
Статус темы:
Закрыта.