Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Transkrypt

1 Przegląd zagrożeń związanych z DNS Tomasz Bukowski, Paweł Krześniak CERT Polska Warszawa, styczeń 2011

2 Agenda Agenda Zagrożenia w Internecie Komunikacja w DNS Zagrożenia w DNS Metody i skutki ataków

3 Zagrożenia w Internecie

4 Zagrożenia w Internecie Atak na zdalny serwer Atak na łącze Atak na stacje roboczą

5 Ataki na zdalny serwer wykorzystanie niezałatanej luki kradzież hasła dostępowego modyfikacja lub usunięcie danych dostęp do wrażliwych informacji umieszczenie fałszywych/szkodliwych informacji podmiana treści

6 Ataki na łącze sniffing spoofing dostęp do wrażliwych danych modyfikacja przesyłanych informacji

7 Ataki na stację roboczą wykorzystanie niezałatanej luki malware dostęp do wrażliwych informacji przejęcie kontroli nad komputerem

8 Usługa DNS i ataki na nią

9 Struktura DNS

10 Rozwiązywanie nazwy

11 Komunikacja TCP lub UDP port 53 Brak szyfrowania TCP Protokół połączeniowy (3-way handshake) Mało wydajny dla potrzeb DNS (RTT) Rzadko wykorzystywany Parametry połączenia: IP źródłowe, port źródłowy IP docelowe, port docelowy Numery sekwencyjne połączenia

12 UDP Ponad 99,9% ruchu DNS Protokół bezpołączeniowy Protokół bezstanowy Parametry połączenia: IP źródłowe, port źródłowy IP docelowe, port docelowy Rozszerzenie EDNS0 pozwala na obsługę wiadomości dłuższych niż 512 bajtów (domyślnie 4kB)

13 Struktura pakietu DNS

14 Parametry charakteryzujące komunikacje DNS Warstwa 3 i 4 (IP+UDP) Adres IP Numer portu źródłowego 16 bitów DNS QNAME ID 16 bitów

15 Co zawiera pytanie DNS losowa wartość QUERY-ID flaga QUERY=0 jeden rekord ANSWER - pytanie brak innych danych

16 Co zawiera odpowiedź DNS ta sama wartość QUERY-ID flaga QUERY=1 sekcja ANSWER identyczna jak w zapytaniu DNS informacje dotyczące domeny w pozostałych sekcjach (TTL - czas ważności informacji)

17 Rodzaje informacji zawartych w DNS rekordy A oraz AAAA - translacja nazwy domenowej do adresu IP rekord MX - nazwy serwerów pocztowy obsługujący pocztę dla danej domeny rekordy NS - nazwy serwerów DNS obsługujący daną domenę rekord SRV - informacje o serwisach/usługach dostępnych dla danej domeny rekord CNAME - nazwa kanoniczna - alias do nazwy (innej) domenowej

18 Miejsca ataku NA KOMUNIKACJE DNS

19 Na serwer DNS Włamanie do systemu Zatruwanie cache tzw cache-poisoning

20 Na komunikacje Man-in-the-middle Cache poisoning

21 Na stację roboczą Rożnego rodzaju malware

22 Skutki ataków Dostarczenie fałszywych informacji podmiana stron WWW ( web site impersonation ) przejmowanie poczty obchodzenie zabezpieczeń na stronach WWW dzięki funkcji zapomniałem hasła

23 Skutki ataków

24 Skutki ataków

25 Skutki ataków przykład atak na Google Bangladesz google.com.bd

26 Cache poisoning Łatwy dzięki niezmiennym parametrom komunikacji: Adresy IP Porty (źródłowy i docelowy to 53/udp) Zmienne parametry komunikacji: ID zapytania DNS (16 bitów)

27 Cache poisoning sposób ataku W 1999 Daniel Bernstein zauważył że 16 bitowowe ID transakcji może zostać odgadnięte poprzez atak brute force Odpowiedź społeczności DNS: TTL rekordów ogranicza atakującego do jeden próby sfałszowania odpowiedzi na okres ważności rekordu (typowo 1 dzień), co uniemożliwi skuteczny atak W lipcu 2008 Dan Kaminsky zweryfikował te twierdzenia i pokazał jak ominąć TTL

28 Cache poisoning sposób ataku (c.d.) TTL jest atrybutem każdego rekordu, więc aby wymusić zapytanie z jednego serwera do drugiego należy generować zapytania o losowe nazwy w tej domenie: abc1.domena.pl abc2.domena.pl abc3.domena.pl...

29 Cache poisoning sposób ataku (c.d.) W strumieniu oszukanych odpowiedzi od serwera należy spreparować sekcje AUTHORITATIVE i/lub ADDITIONAL i podać tam inne serwery NS dla atakowanej domeny lub ich inne adresy IP. Serwer DNS otrzymując nowe adresy IP zapamięta je i przy rozwiązywaniu kolejnych nazw użyje serwerów DNS atakującego

30 Obrona przed cache-poisoningiem Filtrowanie pakietów z oszukanym adresem źródłowym u samego źródła ([BCP38, RFC3704] urpf, czyli Unicast Reverse Path Forwarding) Użycie TCP Randomizacja portu źródłowego (dodatkowe max 16 bitów) Przy losowym ID i porcie źródłowym atak nadal jest możliwy, ale do jego przeprowadzenia potrzeba dużego pasma kilkanaście kilkdziesiąt Mbit i kilku dni (1-10)

31 Obrona przed cache-poisoningiem (c.d.) Zwiększenie liczby bitów dla ID transakcji DNS poprzez zmianę wielkości liter w zapytaniu DNS Trick opisany w draft-vixie-dnsext-dns0x20 Otrzymujemy N dodatkowych bitów dla ID transakcji, gdzie N równe jest sumie długości etykiet pytanej nazwy: Brak pewności, że będzie to zaimplementowane we wszystkich popularnych serwerach DNS, gdyż nie jest to RFC. DNSSEC

32 Podsumowanie

33 Pytania