Comments 61
Все в ваших руках ;)
Я свои уже приложил.
Я свои уже приложил.
по ссылке:
Your name server, at 208.69.34.8, appears to be safe.
таки закрыта :)
использую OpenDNS
Your name server, at 208.69.34.8, appears to be safe.
таки закрыта :)
использую OpenDNS
Какие перспективы для злоупотреблений это открывает мне
:)))
:)))
Лучше бы провели исследование, сколько DNS с разрешенной рекурсией доступны из инета и что будет, если на них послать спуфные udp и src жертвы. Этож натуральный пипец будет, товарищи.
А не сложно ли поподробнее про разрешенную рекурсию, или ссылки?
Про рекурсию написано в статье про DNS. Почти все имеющиеся в природе сервере - рекурсивные (и подвержены атаке), но часть серверов (отвечающих за зоны .com/.org/.ru и т.п.) - не рекурсивные. То есть у них нельзя спросить - какой IP у сайта habrahabr.ru (вернее спросить-то можно, но ответ получить нельзя - только отлуп). Это сделано не с целью их защиты от подобного рода аттак (как уже говорилось они многие годы считались теоретическими и на практике неосуществимыми), но для того, чтобы снизить нагрузку на эти сервера.
Кстати, если с софтовыми решениями все более-менее быстро, то хардварные вендоры вроде пока молчат :(
PS в первый раз ставлю плюс топику, который является бояном от моего %-)
PS в первый раз ставлю плюс топику, который является бояном от моего %-)
дык тема то уже была на харе=)
Хотя... у вас надо признать более конкретно все написано. А то там некоторые действительно говорят что это нефига не опасно. Да вы и в PS написали про то что тема уже подымалась, так что сори...
Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.
если я правильно понял описание уязвимости, то ее практически невозможно (если конечно нет каких-то не указанных в адвизори ухищрений) реализовать...
Your name server, at -----, appears vulnerable to DNS Cache Poisoning.
Екатеринбург, УСИ, полугосударственная контора. В общем фикс - это надолго :)
Екатеринбург, УСИ, полугосударственная контора. В общем фикс - это надолго :)
Ах! Не может быть! Как же такое могло случится! Интернеты поломались!
Вы действительно верите(ли) в безопасность внешней сети? Неужели случилось _что-то действительно новое_?))))
Вы действительно верите(ли) в безопасность внешней сети? Неужели случилось _что-то действительно новое_?))))
в дебиан уже апдейт есть=)
Да очень сомнительно это. В смысле я считаю, что проблема не стоит выеденного яйца.
Ну 16 бит под номер пакета в DNS против 32 в каком нить TCP. Ну и что? Важно как с этими номерами работать. Думаю стоит говорить об уязвимости в ПО, а не в протоколе. Угадать номера нескольких текущих (из 65к) случайных запросов да еще ответить на них раньше оригинального получателя или предугадать те, что посланы после твоего и ответить мусором.. На мой взгляд легко прикрыть правильно написанным ПО.
Никто же сейчас не говорит об уязвимости TCP.. Хотя в мохнатых годах Митник поломал Шимомуру предугадав и 32 битные номера говнянореализованного стека TCP протокола и установил TCP сессию с фейковым IP.
Проапдейтят ПО и никто не вспомнит. А уязвимости в ПО они каждый день.
Ну 16 бит под номер пакета в DNS против 32 в каком нить TCP. Ну и что? Важно как с этими номерами работать. Думаю стоит говорить об уязвимости в ПО, а не в протоколе. Угадать номера нескольких текущих (из 65к) случайных запросов да еще ответить на них раньше оригинального получателя или предугадать те, что посланы после твоего и ответить мусором.. На мой взгляд легко прикрыть правильно написанным ПО.
Никто же сейчас не говорит об уязвимости TCP.. Хотя в мохнатых годах Митник поломал Шимомуру предугадав и 32 битные номера говнянореализованного стека TCP протокола и установил TCP сессию с фейковым IP.
Проапдейтят ПО и никто не вспомнит. А уязвимости в ПО они каждый день.
Ну такие - всё-таки не каждый день. И да, думаю через год-другой все обновятся и забудут, но сейчас, сегодня - это важное событие. Сколько времени уйдёт чтобы все киски хотя бы на магистралях обновить?
Там не сервера. Там в основном клиенты. Когда киска определяет - пускать ли человека, желающего что-то настроить её нужно узнать - из правильной ли сети человек пришёл. Для этого используется библиотека-резолвер, которая так же подвержена атаке как и все остальные.
Согласен что для киски - это всего лишь один эшелон обороны, но учитывая их важность для сети Internet...
Согласен что для киски - это всего лишь один эшелон обороны, но учитывая их важность для сети Internet...
Тем же что и сервер :-) Ему можно подсунуть неправильный ответ когда он спросит "кто тут 1.2.3.4?". Просто нужно послать пакет с соотвествующего IP-адреса на 23 порт (telnet) или 22 порт (ssh) и он возбудится.
Разумеется это зависит от настроек оной киски (скажем если она обучена принимать запросы только с одного Ethernet-входа или вообще только с консоли, то такой метод не прокатит), но учитывая сколько этих кисок в мире, где они стоят и кто за ними ухаживает...
Разумеется это зависит от настроек оной киски (скажем если она обучена принимать запросы только с одного Ethernet-входа или вообще только с консоли, то такой метод не прокатит), но учитывая сколько этих кисок в мире, где они стоят и кто за ними ухаживает...
khim, мне кажется вы даже не "воткнули" в проблему. Вы пишете о том чего до конца не понимаете.
"В протоколе DNS была обнаружена практически используемая дыра. Не в каком-то конкретном клиенте, но в самом протоколе." - это безграмотно. А ниже через 3 коммента - вообще бред написан.
"В протоколе DNS была обнаружена практически используемая дыра. Не в каком-то конкретном клиенте, но в самом протоколе." - это безграмотно. А ниже через 3 коммента - вообще бред написан.
Работа над ошибками:
...практически используемыя дыра - используемая
"боян" - баян
"фигня" - лажа Ж)
...практически используемыя дыра - используемая
"боян" - баян
"фигня" - лажа Ж)
в очередной раз убеждаемся насколько параноидален автор djbdns
Это не паранойя. Это здравый смысл. А какое BIND говно он писал давным давно и в деталях.
И если я ещё могу понять, почему qmail в некоторых случаях не используется (говорят, при больших объёмах а-ля ISP там какие-то проблемы, но я подозреваю его просто не умеют готовить в большинстве случаев), то почему ещё кто-то использует BIND (и, даже, говорят, sendmail!) - для меня загадка. Это-ж насколько надо забить на безопасность сервера!
И если я ещё могу понять, почему qmail в некоторых случаях не используется (говорят, при больших объёмах а-ля ISP там какие-то проблемы, но я подозреваю его просто не умеют готовить в большинстве случаев), то почему ещё кто-то использует BIND (и, даже, говорят, sendmail!) - для меня загадка. Это-ж насколько надо забить на безопасность сервера!
Так может адронный коллайдер все-таки запустили? ;)
maradns рулит.
Your name server, at 77.222.149.138, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 55802
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for a66d05fac6d5.toorrr.com:
77.222.149.138:55802 TXID=4271
77.222.149.138:55802 TXID=28412
77.222.149.138:55802 TXID=26532
77.222.149.138:55802 TXID=22948
77.222.149.138:55802 TXID=43794
народ сижу и жду взлома !
All requests came from the following source port: 55802
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for a66d05fac6d5.toorrr.com:
77.222.149.138:55802 TXID=4271
77.222.149.138:55802 TXID=28412
77.222.149.138:55802 TXID=26532
77.222.149.138:55802 TXID=22948
77.222.149.138:55802 TXID=43794
народ сижу и жду взлома !
А как вот такое понимать?
Your name server, at 85.172.0.250, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 59011
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 82459003d8d1.toorrr.com:
85.172.0.250:59011 TXID=3100
85.172.0.250:59011 TXID=56066
85.172.0.250:59011 TXID=30952
85.172.0.250:59011 TXID=31995
85.172.0.250:59011 TXID=56842
Your name server, at 85.172.0.250, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 59011
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 82459003d8d1.toorrr.com:
85.172.0.250:59011 TXID=3100
85.172.0.250:59011 TXID=56066
85.172.0.250:59011 TXID=30952
85.172.0.250:59011 TXID=31995
85.172.0.250:59011 TXID=56842
для тех кто действительно не знае "vulnerable - уязвимый"
программа максимум - показать всё что скрыто
Возможно он и не был уязвим, например если у него djbdns стоял.
1. Как верно заметили внушительное число серверов и не были уязвимы.
2. Вчера координированно обновилась куча DNS'ов от массы производителей. Если ваш маленький провинциальный провайдер всего-навсего регулярно ставит официальные security апдейты - то этого достаточно.
2. Вчера координированно обновилась куча DNS'ов от массы производителей. Если ваш маленький провинциальный провайдер всего-навсего регулярно ставит официальные security апдейты - то этого достаточно.
Как страшно жить
Хех. Как вы, я надеюсь, понимаете третий пункт отменяет второй - а первый и третий верны для подавляющего большинства компьютеров в Сети. Да-да: атака работает не только для DNS-серверов, но и для индувидуальных компьютеров. Другое дело что для индувидуальных компьютеров её использование сильно затруднено (хотя в принципе возможно), а выигрыш - невелик. Так что если вы обычный пользовать и от вашего компьютера можно получить разве что очередного зомби в ботнет - то спите спокойно, а если вы на нём работает с совсекретными документами, то... может зря вы его в сеть Internet вообще воткнули, её богу?
Случилось страшное... люди из интернета
Sign up to leave a comment.
DNS: Случилось страшное…