Compreendendo o envenenamento de cache do DNS

3

Acabei de ler artigo sobre o envenenamento de cache de DNS, e embora eu o entenda, estou certo em dizer que o envenenamento de cache DNS é impossível quando o servidor está atrás de um roteador usando um endereço ou cone restrito de porta NAT?

    
por R4D4 23.10.2011 / 00:45

3 respostas

7

Não.

Em um ataque de envenenamento de cache, o invasor falsifica uma resposta do verdadeiro servidor de nomes. Uma resposta forjada que envenena com sucesso o cache de um recursor tem o IP de origem correto, as informações corretas sobre a porta e o ID de consulta correto - o dispositivo NAT encaminhará esse pacote para o servidor.

A aleatoriedade da porta de origem no dispositivo NAT (em vez de cada consulta vir apenas do UDP 53) forneceria alguma complexidade adicional para um invasor superar, mas em um ataque no qual você está forçando a conversão do NAT a permanecer no local com consultas constantes, a tradução permanecerá no lugar - a porta de origem só precisaria ser adivinhada uma vez, em vez de para cada consulta única.

A randomização da porta de origem no processo de DNS do recursor é praticamente uma necessidade de proteção semi-decente contra esse ataque.

    
por 23.10.2011 / 01:01
1

Basicamente, como eu entendo o ataque, ele fornece a resposta falsa mais rápido do que o servidor real está fornecendo a resposta correta. O problema é que existem algumas coisas que o atacante não sabe, a menos que ele tenha acesso ao pacote de consultas como o número da porta. Isso significa que o invasor precisa tentar todas as combinações possíveis. Algumas falhas de design, como a porta de origem única ou sequencial, fazem com que seja muito menos possível tentar combinações.

O problema com o firewall é que o firewall precisa passar a resposta correta de volta ao originador da consulta. Portanto, se estiver fazendo NAT e / ou firewall sem estado, ele registrará as portas do pacote de consultas DNS de saída na tabela NAT e / ou de conexões. Quando o pacote de resposta chega e coincide com as portas, ele será passado ou desnaturado, não importa se é o real ou o falso.

    
por 23.10.2011 / 00:55
0

Bem, depende, se você pode confiar em alguém, você também envia um pacote no começo, provavelmente sim. Mas, caso contrário, é possível, porque ele ainda seria capaz de enviar pacotes com o ip fraudulento. O IP do qual ele estará enviando será um IP com o qual você pode se comunicar, o IP malicioso estará apenas no conteúdo do pacote. (Se eu entendi isso corretamente)

    
por 23.10.2011 / 00:57