Envenenamento de cache DNS e ID de transação

Question

É principalmente o seu primeiro marcador que é impreciso:

a consulta é cancelada e marcada como falha se o ID da transação da resposta não corresponder (ou seja, os invasores não podem usar força bruta no ID da transação, pois apenas a primeira resposta será aceita)

Quando um ID de transação desconhecido é recebido, essa resposta é descartada. Mas sua suposição de que a consulta pendente é de alguma forma considerada falhada não é verdadeira.

Efetivamente, esse cenário de ataque se torna uma corrida para o invasor obter uma resposta válida antes que a resposta do servidor de nomes real chegue.

O problema com sua suposição é que o objetivo do ID da transação (+ porta de origem UDP) é corresponder à resposta a uma consulta pendente, mas quando há uma resposta em que esses valores estão errados (não corresponde a nenhuma consulta), como você pode saber qual consulta você deve considerar que falhou?
E se você permitisse alguma forma de correspondência parcial, como implementaria isso de uma forma que não substituísse uma corrida um tanto onerosa para o invasor por um ataque DoS trivialmente explorável?

Opções para proteção "real":

O DNSSEC permite que o originador da consulta valide a autenticidade dos registros na resposta, o que garante que uma resposta gerada pelo invasor não seja aceita para nomes em zonas assinadas.
Para consultas de alguma forma de cliente/encaminhador para um servidor resolvedor especificamente, DoT e DoH também evitam o problema de envenenamento de cachepara este "salto" específico(DoT/DoH protege apenas um canal de comunicação entre dois hosts; as resoluções DNS tendem a ter vários desses "saltos").
(Até mesmo a consulta sobre TCP melhora o cenário específico da questão, mas as soluções baseadas em criptografia são obviamente muito mais amplas em termos de quais ataques elas lidam.)

Answer 1

É principalmente o seu primeiro marcador que é impreciso:

a consulta é cancelada e marcada como falha se o ID da transação da resposta não corresponder (ou seja, os invasores não podem usar força bruta no ID da transação, pois apenas a primeira resposta será aceita)

Quando um ID de transação desconhecido é recebido, essa resposta é descartada. Mas sua suposição de que a consulta pendente é de alguma forma considerada falhada não é verdadeira.

Efetivamente, esse cenário de ataque se torna uma corrida para o invasor obter uma resposta válida antes que a resposta do servidor de nomes real chegue.

O problema com sua suposição é que o objetivo do ID da transação (+ porta de origem UDP) é corresponder à resposta a uma consulta pendente, mas quando há uma resposta em que esses valores estão errados (não corresponde a nenhuma consulta), como você pode saber qual consulta você deve considerar que falhou?
E se você permitisse alguma forma de correspondência parcial, como implementaria isso de uma forma que não substituísse uma corrida um tanto onerosa para o invasor por um ataque DoS trivialmente explorável?

Opções para proteção "real":

O DNSSEC permite que o originador da consulta valide a autenticidade dos registros na resposta, o que garante que uma resposta gerada pelo invasor não seja aceita para nomes em zonas assinadas.
Para consultas de alguma forma de cliente/encaminhador para um servidor resolvedor especificamente, DoT e DoH também evitam o problema de envenenamento de cachepara este "salto" específico(DoT/DoH protege apenas um canal de comunicação entre dois hosts; as resoluções DNS tendem a ter vários desses "saltos").
(Até mesmo a consulta sobre TCP melhora o cenário específico da questão, mas as soluções baseadas em criptografia são obviamente muito mais amplas em termos de quais ataques elas lidam.)

Envenenamento de cache DNS e ID de transação

Responder1

informação relacionada