The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от opennews (??), 14-Авг-23, 23:50 
Группа китайских исследователей на конференции Black Hat USA 2023 раскрыла детали атаки MaginotDNS, позволяющей осуществить подстановку некорректных NS-записей в кэш DNS-серверов (отравление кэша), используемых одновременно для перенаправления запросов (forwarder) и рекурсивного определения имён (resolver). Успешное проведение атаки может привести к обращению к неверным DNS-серверам, отдающим ложные сведения о целевом домене, и подмене атакующим целиком DNS-зон, в том числе для доменов верхнего уровня ( .com, .net, .ru и т.п.)...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59598

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  –1 +/
Сообщение от Аноним (1), 14-Авг-23, 23:50 
> для подмены записей для запросов в режиме resolver-а через отравление кэша при манипуляции с запросами и ответами в режиме forwarder-а.

А зачем кэшировать forward?

Ответить | Правка | Наверх | Cообщить модератору

2. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +1 +/
Сообщение от Гашпшпщм (?), 15-Авг-23, 00:18 
Ну вот есть у тебя рекурсор для инторнета и виндузовый днс для внутренней зоны твоего example.com.
Ну и запросы во внутреннюю зону ты форвардишь, а чтобы разгрузить контроллеры домена кэшируешь пакетным кэшом и dns кэшом. А внутренних клиентов могут быть и тысячи. Поэтому это бывает полезно. Например dnsdist с этой задачей справляется прекрасно. Кроме этого на самих клиентах неплохо иметь локального кэша, dnsmasq или unbound, или systemd-resolved. Главное не ошибиться с ттл позитивного и негативного кэша во всей цепочке.
Ответить | Правка | Наверх | Cообщить модератору

3. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  –2 +/
Сообщение от Аноним (1), 15-Авг-23, 00:29 
А почему это не кэшировать на "авторитетах" вместо того что-бы кэшировать проходящий мусор в котором "ты" не компитентен.
Ответить | Правка | Наверх | Cообщить модератору

43. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (43), 16-Авг-23, 18:50 
На auth обычно и так есть packet cache на ответы, но если есть возможность сократить трафик с 10 Гбит/с до 10 Мбит/с, то почему бы это не сделать?
Ответить | Правка | Наверх | Cообщить модератору

8. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +3 +/
Сообщение от Атон (?), 15-Авг-23, 08:01 
форвардить запросы gendir.example.local  в google.dns и получать корректные ответы?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

25. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +1 +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 14:40 
В смысле зачем. Ты предлагаешь каждый запрос каждого васиного писюка сливать апстриму? Апстрим обидится и зобанед на веки вечные.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

32. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (32), 15-Авг-23, 18:54 
А так нормально досить крайнего? Может досят и из окрестностей апстрима.
Ответить | Правка | Наверх | Cообщить модератору

35. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 20:02 
Крайних много, а апстрим зачастую единственный и неповторимый.
Ответить | Правка | Наверх | Cообщить модератору

40. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (43), 16-Авг-23, 01:22 
> А так нормально досить крайнего?

Отношение количества рекурсоров к количеству клиентов, нагрузочная способность рекурсора, средние/пиковые значение трафика от клиента - все это связано очень простым соотношением и, если автор не дурак, учитывается при проектировании инфры.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

9. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +3 +/
Сообщение от Аноним (9), 15-Авг-23, 08:24 
Какая же переусложнённая система - DNS.
Ответить | Правка | Наверх | Cообщить модератору

11. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +3 +/
Сообщение от хрю (?), 15-Авг-23, 11:34 
Как и любая старая и работающая система. И да, она ещё не сложная, вот лет через 25 будет сложная +).
Ответить | Правка | Наверх | Cообщить модератору

13. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +3 +/
Сообщение от Аноним (13), 15-Авг-23, 12:25 
Что значит "не сложная"? Это же просто key-value хранилище. Какие-то кэши,
recursive, authoritative server, forwarder, resolver, recursive resolver, conditional dns server, bailiwick .... Зачем всё это?
Ответить | Правка | Наверх | Cообщить модератору

14. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +4 +/
Сообщение от Аноним (14), 15-Авг-23, 12:40 
Потому что система разрабатывалась как распределённая. Если ты согласен чтобы Гоогле контролировал всё и раздавал все имена с одного Редиса с 15ТБ памяти, тогда всё можно упростить, конечно. Но и тогда рано или поздно все стали бы кеширование велосипедить. Вообще если заново разрабатывать с нуля то будет немного попроще но не настолько.

Я вот всё мечтаю о com.google.web и ru.opennet

Ответить | Правка | Наверх | Cообщить модератору

19. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +1 +/
Сообщение от Аноним (19), 15-Авг-23, 13:15 
Извините, распределённая система - это namecoin. И даже она проще - все узлы одноранговые.
Ответить | Правка | Наверх | Cообщить модератору

20. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (19), 15-Авг-23, 13:19 
А DNS - это не распределённая система, а федерация. Тесно увязанная с положением компании в экосистеме и её партнёрскими отношениями с другими компаниями. То есть на самом деле система централизованная, олигополия.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

21. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (19), 15-Авг-23, 13:24 
Закон Конвея

>Any organization that designs a system (defined broadly) will produce a design whose structure is a copy of the organization's communication structure.

Ответить | Правка | Наверх | Cообщить модератору

27. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 15:08 
В моём случае не работает, мои подходы например сильно оторваны от организационных - да, приходится учить соглашаться на нетиповые варианты, но результат даёт о себе знать.
Ответить | Правка | Наверх | Cообщить модератору

28. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (28), 15-Авг-23, 16:41 
Технически распределенная. Никто не мешает тебе сделать свой gTLD ".vasyapupkin" и корневые неймсервера к нему.

Организационно - да.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

42. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Гашпшпщм (?), 16-Авг-23, 09:03 
Она кроме этого ещё и иерархическая. И простая как три рубля. Не для смузибоев может быть, но простая.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

24. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 14:39 
Не просто key-value, а distributed key-value. Это уже слегка посложнее ваших редисок.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

10. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +3 +/
Сообщение от Аноним (10), 15-Авг-23, 10:20 
>DNS-серверы Unbound, MaraDNS и PowerDNS атаке не подвержены.

Этим, собственно, новость можно было начать и закончить.

Ответить | Правка | Наверх | Cообщить модератору

12. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  –3 +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 12:19 
Честно - DNS пора переводить на TCP/SSL.
Да, это добавит нагрузки, особенно большим, но с легко мудифицируемым плейнтекстом пора завязывать.
Ответить | Правка | Наверх | Cообщить модератору

15. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +3 +/
Сообщение от Анон133 (?), 15-Авг-23, 12:45 
Пора перестать хлебать смузи. А новость из разряда вмё пропало, но ничего в итоге не пропало, а показалось.
Ответить | Правка | Наверх | Cообщить модератору

23. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 14:37 
Да не, плейнтекст это не о смузи.
И плейнтекст в DNS забодал безотносительно новости - простор для кулхацкеров 10 классов потрясающий.
Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором  +/
Сообщение от ivan_erohin (?), 15-Авг-23, 18:06 
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 20:00 
Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором  +/
Сообщение от ivan_erohin (?), 15-Авг-23, 22:43 
Ответить | Правка | Наверх | Cообщить модератору

34. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 20:00 
Вот для trusted downstream forwarders поддержку постоянных соединений сделать селективно - да, была бы тема.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

44. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (43), 16-Авг-23, 18:52 
>  Честно - DNS пора переводить на TCP/SSL.

Ага, чтобы запустить auth-серверы для домена, нужен серт. А чтобы валидировать серт по ACME (ну, или issuer-специфичным костылям), нужные работающие auth-серверы. Шах и мат!

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

55. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 17-Авг-23, 23:35 
Внимательнее. Смысл не в авторизации зон. Просто в предотвращении MITM.
Ответить | Правка | Наверх | Cообщить модератору

56. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 17-Авг-23, 23:36 
Ну и опять же - кто мешает серты валидировать по списку корневиков?
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

52. Скрыто модератором  +/
Сообщение от Электрон (?), 17-Авг-23, 22:53 
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

53. Скрыто модератором  +/
Сообщение от Tron is Whistling (?), 17-Авг-23, 23:32 
Ответить | Правка | Наверх | Cообщить модератору

16. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  –1 +/
Сообщение от Аноним (16), 15-Авг-23, 12:49 
Вбивая гвоздь в бинд, неплохо бы убедиться, что твоя мошонка к нему не прибита. Ну передавите всех нас, Васянов, домовых, кому будет? Все в ЖЭК.
Ответить | Правка | Наверх | Cообщить модератору

18. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от bOOster (ok), 15-Авг-23, 13:10 
А какой самоубийца BIND снаружи использует?
Ответить | Правка | Наверх | Cообщить модератору

22. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  –1 +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 14:36 
Я использую уже много-много лет как авторитативный сервер для клиентских доменов.
А в чём проблема-то? Смузи не пью, полёт нормальный.
Ответить | Правка | Наверх | Cообщить модератору

38. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (43), 16-Авг-23, 01:11 
Любители bind и прочего апача обычно другую субстанцию употребляют, причём сразу ложкой.
Ответить | Правка | Наверх | Cообщить модератору

41. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 16-Авг-23, 07:12 
За любителей не скажу, но мы - не любители.
Ответить | Правка | Наверх | Cообщить модератору

45. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (43), 16-Авг-23, 18:54 
Не любите bind?
Я тоже.
Ответить | Правка | Наверх | Cообщить модератору

48. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 16-Авг-23, 20:17 
Вы любите отвёртку?
Вот и мы нет - мы ей профессионально пользуемся.
Ответить | Правка | Наверх | Cообщить модератору

51. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  –1 +/
Сообщение от Аноним (43), 17-Авг-23, 15:47 
Использовать bind в качестве dns-сервера - это как крутить винты ph2 отвёрткой ph1.
Вроде и то, и то крестовое, но почему-то работает так себе.
Ответить | Правка | Наверх | Cообщить модератору

54. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 17-Авг-23, 23:34 
Не, ну я знаю, что обязательно надо прямо с телемагазина, раскрашенное в радугу, с рюшечками и смузи в подарок.
Но нет, ребята, нет.
Ответить | Правка | Наверх | Cообщить модератору

57. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от bOOster (ok), 22-Авг-23, 11:07 
> Использовать bind в качестве dns-сервера - это как крутить винты ph2 отвёрткой
> ph1.
> Вроде и то, и то крестовое, но почему-то работает так себе.

Внутри сети вполне себе рабочий и удобный вариант. Интеграция с DHCP и LDAP. А на внешке лично я YADIFA использую.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

39. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Аноним (43), 16-Авг-23, 01:16 
> Вбивая гвоздь в бинд, неплохо бы убедиться, что твоя мошонка к нему не прибита.

Ну, моя не прибита (auth pdns, rec unbound). У кого прибита - те заслужили стерилизацию.

> Ну передавите всех нас, Васянов, домовых, кому будет?

Тише и спокойнее станет в интернете, потому что именно два любимца аникеевых - bind и msdns - в основном используются для ddos-атак dns amplification.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

17. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от bOOster (ok), 15-Авг-23, 13:10 
Yadifa тоже НЕ в списке "отличившихся"..
Ответить | Правка | Наверх | Cообщить модератору

26. "Атака MaginotDNS, позволяющая подменить данные в кэше DNS "  +/
Сообщение от Tron is Whistling (?), 15-Авг-23, 14:42 
От апстрима на форварде внезапно можно получить нестандартный ответ?
ВАУ. Новость века.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру