Test DNS-navneservere for forfalskning

Hva betyr DNS-cache-forgiftning for oss? Mye. Ved hjelp av cache-forgiftning kan skurkene omdirigere nettlesere til ondsinnede nettsteder. Etter det kan et hvilket som helst antall dårlige ting skje.

DNS-grunning

Å være menneske, det er lettere å huske navn enn tall. Men datamaskiner foretrekker tall. Så vi bruker en prosess som heter Domain Name System (DNS) for å holde oversikt over begge deler. Den oversetter domenenavn til numeriske adresser.

La oss bruke nettlesere som eksempel. Brukeren skriver inn navnet på et nettsted og treff enter. Nettleseren sender en DNS-spørring til DNS-navneserveren som brukes av datamaskinen. DNS-navneserveren sjekker databasen for nettstedets navn og svarer med den tilhørende IP-adressen. Med IP-adressen henter nettleseren nettstedet.

For forutsigbar

Ytterligere to stykker av puslespillet er nødvendige for å forstå hvordan Dan Kaminsky kan forgifte DNS-serverbufrene. De er:

  • Spørringstransaksjon-IDen (gjør det mulig å samsvare DNS-svar til DNS-forespørsler) blir økt i numerisk rekkefølge og bruker alltid den samme porten.
  • Programmer som bruker DNS, stoler eksplisitt på domenenavnet / IP-adresseutvekslingen.

Forutsigbarheten og blind aksept tillot ham å:

  • Opprett et useriøst DNS-svar.
  • Send den til datamaskinen eller DNS-navneserveren og ber om den tilknyttede IP-adressen.
  • DNS-svaret blir akseptert så lenge spørringstransaksjon-ID stemmer overens og det ble mottatt før den autoritative DNS-navneserverens svar.

Etter at støvet sank, innså Mr. Kaminsky at denne teknikken kunne brukes til å omdirigere nettlesere til ondsinnede nettsteder.

Øk tilfeldigheten

For å forhindre omdirigering kom Kaminsky med en elegant løsning. Det er to til makten til 16 mulige spørringstransaksjon-IDer og 2 til kraften til 16 mulige kildeporter. Hvorfor ikke randomisere ID-er for spørringstransaksjoner. Han foreslo også å bruke tilfeldige kildeporter i stedet for den samme hver gang.

Hvis du blander ut valgprosessen for hver, blir antall potensielle kombinasjoner 2 til kraften på 32. Det gjør det tilstrekkelig vanskelig å gjette.

Ok, vi har en løsning. Men som jeg hevdet tidligere, er det ikke alle DNS-navneservere som bruker de foreskrevne rettelsene. Heldigvis er det måter å fortelle om DNS-navneserveren er oppdatert.

Testing for spoofability

Jeg hørte på en Security Now-podcast med Steve Gibson og Leo Laporte. Temaet var "Testing DNS Spoofability". I sendingen nevnte Mr. Gibson at han utviklet en online test for å se om DNS-navneservere er mottakelige for cache-forgiftning.

Testen kalles DNS Nameserver Spoofability Test. Programmet utveksler en stor mengde DNS-spørsmål mellom DNS-navneserveren som testes og det Mr. Gibson kaller en Pseudo DNS-navneserver (med tillatelse fra GRC.com):

Årsaken til at det er behov for så mange spørsmål er å nøyaktig teste tilfeldigheten til spørringstransaksjonens ID og kildeportvalg.

Ruter Crash Test

Under utviklingen av spoofability-testen møtte Mr. Gibson noe. Testen krasjet visse rutere av forbrukerklasse. Denne lenken er til listen over rutere som krasjer. Nettsiden forklarer også hvorfor dette skjer.

Spredningskart

Jeg bruker OpenDNS for mine DNS-servere. Følgende lysbilde viser OpenDNS benytter rettelsene og lager et tilfeldig spredningskart:

Neste lysbilde (med tillatelse av GRC.com) representerer en DNS-server som bruker en valgalgoritme som er langt mindre tilfeldig:

Det endelige eksemplet (med tillatelse fra GRC.com) er å fortelle. Både spørringstransaksjon-ID og kildeporten økes på en lineær måte. Selv om verdiene endrer seg, er det på en forutsigbar måte. Ikke bra.

Finn en offentlig DNS-leverandør

Det er alternativer hvis du finner at de tildelte DNS-navneservere ikke randomiserer oppføringene tilstrekkelig. Jeg nevnte tidligere at jeg bruker OpenDNS. Det er gratis, og det er den eneste offentlige DNS-tjenesten som tilbyr beskyttelse mot DNS-gjenoppretting. Denne GRC.com-siden har en liste over andre offentlige DNS-leverandører.

Siste tanker

For å unngå problemer som blir omdirigert til et ondsinnet nettsted, må du teste DNS-navneservere som brukes av datamaskinen din.

© Copyright 2020 | mobilegn.com