ошибка Каминского - бейливики

Question 1

Бейливик

Журнал LinuxстатьячтоЭхтиаропубликовано довольно хорошее объяснение того, что такое бейливик и как он связан с DNS. По сути, дополнительные записи добавляются в ответ DNS, чтобы помочь найти делегированные DNS-серверы. Процитирую пример из статьи:

$ dig @ns1.example.com www.example.com
;; ANSWER SECTION:
www.example.com.    120      IN    A    192.168.1.10

;; AUTHORITY SECTION:
example.com.        86400    IN    NS   ns1.example.com.
example.com.        86400    IN    NS   ns2.example.com.

;; ADDITIONAL SECTION:
ns1.example.com.    604800   IN    A    192.168.2.20
ns2.example.com.    604800   IN    A    192.168.3.30

Атака

Подробности атаки в книге Дэнаслайды(см. слайды 24/25). Чтобы атаковать сервер за брандмауэром:

1.badguy.comЗапускается поиск поддомена домена, контролируемого злоумышленником (например, ' ').
Атакующий сервер отвечает записью CNAME для домена, который он пытается отравить (например, ' debian.org'). Это вызывает DNS-запрос от цели к ' debian.org'.
Как только атакующий сервер отправляет ссылку CNAME, он начинает передавать поддельные DNS-ответы, которые включают дополнительный ответ (например, « security.debian.org», указывающий на IP-адрес « badguy.com»).
Если идентификатор транзакции в ответе угадан правильно, сервер за брандмауэром теперь думает, что « security.debian.org» преобразуется в адрес злоумышленника.

Существует множество способов заставить сервер, находящийся за брандмауэром, искать IP-адрес, внутренние клиентские запросы, разрешать IP-адреса в журналах сервера и т. д.борцмейерупоминает, что брандмауэр в этой атаке не имеет большого значения.

Answer

Бейливик

Журнал LinuxстатьячтоЭхтиаропубликовано довольно хорошее объяснение того, что такое бейливик и как он связан с DNS. По сути, дополнительные записи добавляются в ответ DNS, чтобы помочь найти делегированные DNS-серверы. Процитирую пример из статьи:

$ dig @ns1.example.com www.example.com
;; ANSWER SECTION:
www.example.com.    120      IN    A    192.168.1.10

;; AUTHORITY SECTION:
example.com.        86400    IN    NS   ns1.example.com.
example.com.        86400    IN    NS   ns2.example.com.

;; ADDITIONAL SECTION:
ns1.example.com.    604800   IN    A    192.168.2.20
ns2.example.com.    604800   IN    A    192.168.3.30

Атака

Подробности атаки в книге Дэнаслайды(см. слайды 24/25). Чтобы атаковать сервер за брандмауэром:

1.badguy.comЗапускается поиск поддомена домена, контролируемого злоумышленником (например, ' ').
Атакующий сервер отвечает записью CNAME для домена, который он пытается отравить (например, ' debian.org'). Это вызывает DNS-запрос от цели к ' debian.org'.
Как только атакующий сервер отправляет ссылку CNAME, он начинает передавать поддельные DNS-ответы, которые включают дополнительный ответ (например, « security.debian.org», указывающий на IP-адрес « badguy.com»).
Если идентификатор транзакции в ответе угадан правильно, сервер за брандмауэром теперь думает, что « security.debian.org» преобразуется в адрес злоумышленника.

Существует множество способов заставить сервер, находящийся за брандмауэром, искать IP-адрес, внутренние клиентские запросы, разрешать IP-адреса в журналах сервера и т. д.борцмейерупоминает, что брандмауэр в этой атаке не имеет большого значения.

Question 2

Как отметил Марк Джонсон, сфера ответственности DNS-сервера — это набор доменов, для которых он является авторитетным. В свое время рекурсивные серверы имен принимали данные из-за пределов сферы ответственности от авторитетных серверов имен. Таким образом, авторитетный сервер имен для foo.example мог добавить дополнительные данные в свой ответ, указав IP-адрес www.bar.example, и ему поверили. Это было основойАтака Кашпурева. Долгое время серверы имен больше не доверяли данным, полученным за пределами региона, как предписаноRFC2181, раздел 5.4.1.

Атака Каминского действительнонетиспользовать данные за пределами региона и поэтому работать с последними серверами имен. Журнал LinuxСтатья, упомянутая Люком Куинаном, объясняет это очень хорошо (но остальная часть поста Люка Куинана, особенно о брандмауэрах, сомнительна).

Что касается брандмауэров, то это в основном не связанная с этим проблема. Если сервер имен хочет получать ответы на свои запросы, он должен быть доступен, поэтому неважно, есть ли у него брандмауэр или нет: атаке Каминского нужен только один канал — DNS.

Поскольку атака Каминского осуществляется на сервере имен, который будут использовать клиентские машины, не имеет значения, защищены ли эти машины брандмауэром или нет. (Хороший пример того, почему брандмауэр не является волшебным устройством и не защищает все.)

Answer

Как отметил Марк Джонсон, сфера ответственности DNS-сервера — это набор доменов, для которых он является авторитетным. В свое время рекурсивные серверы имен принимали данные из-за пределов сферы ответственности от авторитетных серверов имен. Таким образом, авторитетный сервер имен для foo.example мог добавить дополнительные данные в свой ответ, указав IP-адрес www.bar.example, и ему поверили. Это было основойАтака Кашпурева. Долгое время серверы имен больше не доверяли данным, полученным за пределами региона, как предписаноRFC2181, раздел 5.4.1.

Атака Каминского действительнонетиспользовать данные за пределами региона и поэтому работать с последними серверами имен. Журнал LinuxСтатья, упомянутая Люком Куинаном, объясняет это очень хорошо (но остальная часть поста Люка Куинана, особенно о брандмауэрах, сомнительна).

Что касается брандмауэров, то это в основном не связанная с этим проблема. Если сервер имен хочет получать ответы на свои запросы, он должен быть доступен, поэтому неважно, есть ли у него брандмауэр или нет: атаке Каминского нужен только один канал — DNS.

Поскольку атака Каминского осуществляется на сервере имен, который будут использовать клиентские машины, не имеет значения, защищены ли эти машины брандмауэром или нет. (Хороший пример того, почему брандмауэр не является волшебным устройством и не защищает все.)

ошибка Каминского - бейливики

решение1

Бейливик

Атака

решение2

Связанный контент