Ataki na serwery Domain Name System (DNS Cache Poisoning)



Podobne dokumenty
Pharming zjawisko i metody ochrony

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Brakujące ogniwo w bezpieczeństwie Internetu

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Internet Explorer. Okres

Laboratorium podstaw telekomunikacji

Klient-Serwer Komunikacja przy pomocy gniazd

Protokół wymiany sentencji, wersja 1

Plan wykładu. Domain Name System. Hierarchiczna budowa nazw. Definicja DNS. Obszary i ich obsługa Zapytania Właściwości.

Router programowy z firewallem oparty o iptables

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Niektóre typowe cechy wiadomości typu phishing to:

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Sieci komputerowe. Domain Name System. WIMiIP, AGH w Krakowie. dr inż. Andrzej Opaliński.

Metody zabezpieczania transmisji w sieci Ethernet

Bazy Danych i Usługi Sieciowe

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Plan wykładu. Domain Name System. Definicja DNS. Po co nazwy? Przestrzeń nazw domen Strefy i ich obsługa Zapytania Właściwości.

IP Spoofing is still alive... Adam Zabrocki ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com)

SIECI KOMPUTEROWE - BIOTECHNOLOGIA

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Sprawozdanie Laboratorium 4

Robaki sieciowe. + systemy IDS/IPS

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

System operacyjny Linux

Protokoły warstwy aplikacji

Windows Serwer 2008 R2. Moduł 3. DNS v.2

DNS spoofing, czyli podszywanie się pod serwer DNS

MODEL WARSTWOWY PROTOKOŁY TCP/IP

ODWZOROWYWANIE NAZW NA ADRESY:

Analiza malware Remote Administration Tool (RAT) DarkComet

SMB protokół udostępniania plików i drukarek

Laboratorium - Obserwacja procesu tłumaczenia nazw DNS

Wykaz zmian w programie SysLoger

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

ArcaVir 2008 System Protection

Sieci komputerowe. Wykład 7: Warstwa zastosowań: DNS, FTP, HTTP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

Właściwie wszyscy interesujący się. DNS spoofing, czyli podszywanie się pod serwer DNS

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Produkty. MKS Produkty

Programowanie współbieżne i rozproszone

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Wykaz zmian w programie SysLoger

Instrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs.

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Protokół sieciowy Protokół

Wybrane działy Informatyki Stosowanej

Protokoły sieciowe - TCP/IP

Domain Name System. Kraków, 30 Marca 2012 r. mgr Piotr Rytko Wydział Matematyki i Informatyki UJ

Konfiguracja DNS, część I (Instalacja)

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

Zarządzanie sesją w aplikacjach Internetowych. Kraków, Paweł Goleń

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Sieci komputerowe Warstwa aplikacji

Synchronizacja czasu - protokół NTP

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Dokumentacja techniczna

Serwer DHCP (dhcpd). Linux OpenSuse.

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

Podstawy działania sieci komputerowych

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1.

Informatyka I. Standard JDBC Programowanie aplikacji bazodanowych w języku Java

System obsługi ubezpieczeń FORT

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

UNIWERSYTET EKONOMICZNY WE WROCŁAWIU. Sprawozdanie. Analizator sieciowy WIRESHARK. Paweł Jarosz Grupa 20 IiE

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Zarządzanie bezpieczeństwem w sieciach

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

DHL CAS ORACLE Wymagania oraz instalacja

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Sieci komputerowe - adresacja internetowa

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

pasja-informatyki.pl

Ko n f i gura cja p ra cy V ISO z bazą SQL S e rve r

Sieci komputerowe. Wstęp

Wykład VI. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Instrukcja konfiguracji funkcji skanowania

Otwock dn r. Do wszystkich Wykonawców

Program do obsługi ubezpieczeń minifort

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Protokoły zdalnego logowania Telnet i SSH

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET

Gwarancja jakości świadczenia usług (SLA)

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 14 Protokoły sieciowe

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Twisted. Silnik Twojego Internetu. Jan Urbański Ducksboard. PyWaw #25, Warszawa, 10 czerwca 2013

Laboratorium Sieci Komputerowych - 2

Spoofing. Wprowadzenie teoretyczne

Transkrypt:

Ataki na serwery Domain Name System (DNS Cache Poisoning) Jacek Gawrych semestr 9 Teleinformatyka i Zarządzanie w Telekomunikacji jgawrych@elka.pw.edu.pl

Plan prezentacji Pytania

Phishing -> Pharming Phishing termin powstały ok. 10 lat temu Pierwsze przypadki America Online (AOL) Pharming dużo poważniejsza forma phishingu Główne przejawy przy podrabianiu serwisów WWW związanych z płatościami elektronicznymi

Atak na DNS spojrzenie ze strony Polecenie połączenia z maszyną na podstawie nazwy domenowej (np. www.mbank.com.pl) Skierowanie do usługi bliźniaczo podobnej, jednak zarządzanej przez zupełnie inny podmiot Wyrządzenie szkody klientowi

Co można osiągnąć WWW FTP Kradzież danych podczas płatności Skompromitowanie instytucji Przejęcie klientów instytucji Zmylenie użytkowników poszukujących informacji w sieci Przejęcie danych wysyłanych do serwera Pobranie zainfekowanego oprogramowania Pobranie zainfekowanych aktualizacji oprogramowania

Atak na DNS spojrzenie ze strony Protokół DNS Słabość protokołu DNS Wykorzystanie słabości Atak klasyczny Zmodyfikowany atak klasyczny Atak dnia narodzin

Protokół DNS Początki plik hosts.txt Obecnie rozproszona baza danych Resolver klient DNS Przechowywanie odpowiedzi w Cache Najczęściej żądanie od najbliższego serwera DNS rozwiązania podanego adresu domenowego na adres IP -> najbliższy serwer DNS zdobywa żądane informacje i zwraca klientowi

Protokół DNS Oparty na UDP Format zapytania: adres źródłowy, port źródłowy, adres docelowy, port docelowy (53), żądany adres do rozwiązania, 16-bitowy znacznik żądania (1-65535) Format odpowiedzi: adresy/porty docelowe/źródłowe, rozwiązany adres, ten sam znacznik, dodatkowe informacje (czas aktualności odpowiedzi, inne serwery)

Słabość protokołu DNS Znacznik TYLKO 16-bitowy!!! Można podać sfałszowaną odpowiedź, zatruwając tym jego pamięć Cache serwera bądź resolvera

Atak klasyczny Wysłanie 1 zapytania klient-serwer Podrobienie odpowiedzi serwer-serwer poprzez podanie serii pakietów zawierających sfałszowaną odpowiedź, różniących się tylko znacznikiem Prawdopodobieństwo sukcesu: P=n/65535 (n liczba różnych pakietów) Przy 65535 pakietach 100-bajtowych przesyłanych jest ok. 50 Mb, co w sieciach 100 Mbit/s może zająć ok. 1 SEKUNDĘ

Zmodyfikowany atak klasyczny Przesyłanie w pętli do serwera/resolvera pakietów podrabiających odpowiedź DNS i oczekiwanie aż zastąpią te oczekiwane Wystarcza znacznie mniejsza liczba pakietów (np. 1000 a nie ponad 60000) Potrafi być skuteczniejszy niż atak klasyczny

Atak dnia narodzin U podstaw paradoks dnia narodzin Wysłanie wielu zapytań klient-serwer i takiej samej liczby odpowiedzi serwerserwer n( n 1) P = 1 (1 P>1/2 przy n= 302 1 ) 65535 Przy n=700 P=0,97608 (dla takiego n przy ataku klasycznym P=0,01068) 2

Podatność BIND 8 i BIND 9 djbdns Resolvery Windows 2000 i Windows XP

BIND 8 i BIND 9 Berkeley Internet Name Domain Akceptują każdą odpowiedź wysłaną na port 53 BIND 9 kolejkuje zapytania, w przeciwieństwie do BIND 8 (atak dnia narodzin niemal niemożliwy, za to osiągane są rezultaty przy zmodyfikowanym ataku klasycznym)

djbdns Serwer autorstwa Dana J. Bernsteina, twórcy serwera pocztowego qmail Niepodatny na przytoczone techniki Generuje losowo numery portów, z których pochodzą zapytania i akceptuje odpowiedzi przychodzące tylko na te porty (inaczej niż BIND) Zabrania stosowania serwerów DNS Cache i autorytatywnego DNS na tym samym IP

Resolvery firmy Microsoft Windows 2000 Losowo generowane numery ID 5 zapytań dla 1 informacji Numer portu zwiększany o 2 Windows XP Od momentu restartu DNS, pierwsze żądanie DNS zawsze z portu 1170 o ID=1, potem przy każdym kolejnym pytaniu ID zwiększane o 1

Jak się bronić? Nie korzystać z usług DNS, przynajmniej przy istotnych działaniach Nie Cache ować odpowiedzi Nie używać podatnego oprogramowania DNSSEC uwierzytelnienie w oparciu o PKI, niestety niekompatybilny z DNS, już zaimplementowany w BIND

Podsumowanie

Pytania