Комментарии 61
Все в ваших руках ;)
Я свои уже приложил.
Я свои уже приложил.
по ссылке:
Your name server, at 208.69.34.8, appears to be safe.
таки закрыта :)
использую OpenDNS
Your name server, at 208.69.34.8, appears to be safe.
таки закрыта :)
использую OpenDNS
Какие перспективы для злоупотреблений это открывает мне
:)))
:)))
Лучше бы провели исследование, сколько DNS с разрешенной рекурсией доступны из инета и что будет, если на них послать спуфные udp и src жертвы. Этож натуральный пипец будет, товарищи.
А не сложно ли поподробнее про разрешенную рекурсию, или ссылки?
Про рекурсию написано в статье про DNS. Почти все имеющиеся в природе сервере - рекурсивные (и подвержены атаке), но часть серверов (отвечающих за зоны .com/.org/.ru и т.п.) - не рекурсивные. То есть у них нельзя спросить - какой IP у сайта habrahabr.ru (вернее спросить-то можно, но ответ получить нельзя - только отлуп). Это сделано не с целью их защиты от подобного рода аттак (как уже говорилось они многие годы считались теоретическими и на практике неосуществимыми), но для того, чтобы снизить нагрузку на эти сервера.
Кстати, если с софтовыми решениями все более-менее быстро, то хардварные вендоры вроде пока молчат :(
PS в первый раз ставлю плюс топику, который является бояном от моего %-)
PS в первый раз ставлю плюс топику, который является бояном от моего %-)
НЛО прилетело и опубликовало эту надпись здесь
дык тема то уже была на харе=)
Хотя... у вас надо признать более конкретно все написано. А то там некоторые действительно говорят что это нефига не опасно. Да вы и в PS написали про то что тема уже подымалась, так что сори...
НЛО прилетело и опубликовало эту надпись здесь
Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.
если я правильно понял описание уязвимости, то ее практически невозможно (если конечно нет каких-то не указанных в адвизори ухищрений) реализовать...
Your name server, at -----, appears vulnerable to DNS Cache Poisoning.
Екатеринбург, УСИ, полугосударственная контора. В общем фикс - это надолго :)
Екатеринбург, УСИ, полугосударственная контора. В общем фикс - это надолго :)
Ах! Не может быть! Как же такое могло случится! Интернеты поломались!
Вы действительно верите(ли) в безопасность внешней сети? Неужели случилось _что-то действительно новое_?))))
Вы действительно верите(ли) в безопасность внешней сети? Неужели случилось _что-то действительно новое_?))))
в дебиан уже апдейт есть=)
Да очень сомнительно это. В смысле я считаю, что проблема не стоит выеденного яйца.
Ну 16 бит под номер пакета в DNS против 32 в каком нить TCP. Ну и что? Важно как с этими номерами работать. Думаю стоит говорить об уязвимости в ПО, а не в протоколе. Угадать номера нескольких текущих (из 65к) случайных запросов да еще ответить на них раньше оригинального получателя или предугадать те, что посланы после твоего и ответить мусором.. На мой взгляд легко прикрыть правильно написанным ПО.
Никто же сейчас не говорит об уязвимости TCP.. Хотя в мохнатых годах Митник поломал Шимомуру предугадав и 32 битные номера говнянореализованного стека TCP протокола и установил TCP сессию с фейковым IP.
Проапдейтят ПО и никто не вспомнит. А уязвимости в ПО они каждый день.
Ну 16 бит под номер пакета в DNS против 32 в каком нить TCP. Ну и что? Важно как с этими номерами работать. Думаю стоит говорить об уязвимости в ПО, а не в протоколе. Угадать номера нескольких текущих (из 65к) случайных запросов да еще ответить на них раньше оригинального получателя или предугадать те, что посланы после твоего и ответить мусором.. На мой взгляд легко прикрыть правильно написанным ПО.
Никто же сейчас не говорит об уязвимости TCP.. Хотя в мохнатых годах Митник поломал Шимомуру предугадав и 32 битные номера говнянореализованного стека TCP протокола и установил TCP сессию с фейковым IP.
Проапдейтят ПО и никто не вспомнит. А уязвимости в ПО они каждый день.
Ну такие - всё-таки не каждый день. И да, думаю через год-другой все обновятся и забудут, но сейчас, сегодня - это важное событие. Сколько времени уйдёт чтобы все киски хотя бы на магистралях обновить?
НЛО прилетело и опубликовало эту надпись здесь
Там не сервера. Там в основном клиенты. Когда киска определяет - пускать ли человека, желающего что-то настроить её нужно узнать - из правильной ли сети человек пришёл. Для этого используется библиотека-резолвер, которая так же подвержена атаке как и все остальные.
Согласен что для киски - это всего лишь один эшелон обороны, но учитывая их важность для сети Internet...
Согласен что для киски - это всего лишь один эшелон обороны, но учитывая их важность для сети Internet...
НЛО прилетело и опубликовало эту надпись здесь
Тем же что и сервер :-) Ему можно подсунуть неправильный ответ когда он спросит "кто тут 1.2.3.4?". Просто нужно послать пакет с соотвествующего IP-адреса на 23 порт (telnet) или 22 порт (ssh) и он возбудится.
Разумеется это зависит от настроек оной киски (скажем если она обучена принимать запросы только с одного Ethernet-входа или вообще только с консоли, то такой метод не прокатит), но учитывая сколько этих кисок в мире, где они стоят и кто за ними ухаживает...
Разумеется это зависит от настроек оной киски (скажем если она обучена принимать запросы только с одного Ethernet-входа или вообще только с консоли, то такой метод не прокатит), но учитывая сколько этих кисок в мире, где они стоят и кто за ними ухаживает...
khim, мне кажется вы даже не "воткнули" в проблему. Вы пишете о том чего до конца не понимаете.
"В протоколе DNS была обнаружена практически используемая дыра. Не в каком-то конкретном клиенте, но в самом протоколе." - это безграмотно. А ниже через 3 коммента - вообще бред написан.
"В протоколе DNS была обнаружена практически используемая дыра. Не в каком-то конкретном клиенте, но в самом протоколе." - это безграмотно. А ниже через 3 коммента - вообще бред написан.
НЛО прилетело и опубликовало эту надпись здесь
Работа над ошибками:
...практически используемыя дыра - используемая
"боян" - баян
"фигня" - лажа Ж)
...практически используемыя дыра - используемая
"боян" - баян
"фигня" - лажа Ж)
в очередной раз убеждаемся насколько параноидален автор djbdns
Это не паранойя. Это здравый смысл. А какое BIND говно он писал давным давно и в деталях.
И если я ещё могу понять, почему qmail в некоторых случаях не используется (говорят, при больших объёмах а-ля ISP там какие-то проблемы, но я подозреваю его просто не умеют готовить в большинстве случаев), то почему ещё кто-то использует BIND (и, даже, говорят, sendmail!) - для меня загадка. Это-ж насколько надо забить на безопасность сервера!
И если я ещё могу понять, почему qmail в некоторых случаях не используется (говорят, при больших объёмах а-ля ISP там какие-то проблемы, но я подозреваю его просто не умеют готовить в большинстве случаев), то почему ещё кто-то использует BIND (и, даже, говорят, sendmail!) - для меня загадка. Это-ж насколько надо забить на безопасность сервера!
Так может адронный коллайдер все-таки запустили? ;)
maradns рулит.
Your name server, at 77.222.149.138, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 55802
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for a66d05fac6d5.toorrr.com:
77.222.149.138:55802 TXID=4271
77.222.149.138:55802 TXID=28412
77.222.149.138:55802 TXID=26532
77.222.149.138:55802 TXID=22948
77.222.149.138:55802 TXID=43794
народ сижу и жду взлома !
All requests came from the following source port: 55802
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for a66d05fac6d5.toorrr.com:
77.222.149.138:55802 TXID=4271
77.222.149.138:55802 TXID=28412
77.222.149.138:55802 TXID=26532
77.222.149.138:55802 TXID=22948
77.222.149.138:55802 TXID=43794
народ сижу и жду взлома !
А как вот такое понимать?
Your name server, at 85.172.0.250, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 59011
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 82459003d8d1.toorrr.com:
85.172.0.250:59011 TXID=3100
85.172.0.250:59011 TXID=56066
85.172.0.250:59011 TXID=30952
85.172.0.250:59011 TXID=31995
85.172.0.250:59011 TXID=56842
Your name server, at 85.172.0.250, appears vulnerable to DNS Cache Poisoning.
All requests came from the following source port: 59011
Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.Requests seen for 82459003d8d1.toorrr.com:
85.172.0.250:59011 TXID=3100
85.172.0.250:59011 TXID=56066
85.172.0.250:59011 TXID=30952
85.172.0.250:59011 TXID=31995
85.172.0.250:59011 TXID=56842
для тех кто действительно не знае "vulnerable - уязвимый"
программа максимум - показать всё что скрыто
НЛО прилетело и опубликовало эту надпись здесь
Возможно он и не был уязвим, например если у него djbdns стоял.
1. Как верно заметили внушительное число серверов и не были уязвимы.
2. Вчера координированно обновилась куча DNS'ов от массы производителей. Если ваш маленький провинциальный провайдер всего-навсего регулярно ставит официальные security апдейты - то этого достаточно.
2. Вчера координированно обновилась куча DNS'ов от массы производителей. Если ваш маленький провинциальный провайдер всего-навсего регулярно ставит официальные security апдейты - то этого достаточно.
НЛО прилетело и опубликовало эту надпись здесь
Как страшно жить
НЛО прилетело и опубликовало эту надпись здесь
Хех. Как вы, я надеюсь, понимаете третий пункт отменяет второй - а первый и третий верны для подавляющего большинства компьютеров в Сети. Да-да: атака работает не только для DNS-серверов, но и для индувидуальных компьютеров. Другое дело что для индувидуальных компьютеров её использование сильно затруднено (хотя в принципе возможно), а выигрыш - невелик. Так что если вы обычный пользовать и от вашего компьютера можно получить разве что очередного зомби в ботнет - то спите спокойно, а если вы на нём работает с совсекретными документами, то... может зря вы его в сеть Internet вообще воткнули, её богу?
Случилось страшное... люди из интернета
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
DNS: Случилось страшное…