next up previous contents
Next: TCP spoofing/hijacking - sequence Up: Megszemélyesítés Previous: ARP address spoofing   Contents

DNS spoofing

A szerverek vagy hálózatok ellen irányuló támadások vagy behatolási kísérletek elég nagy százalékában használják ezt a technikát. Több megvalósítási módja létezik, de a cél minden esetben azonos: a támadó vagy a célpont DNS kiszolgálójának manipulálása annak elérésére, hogy a támadó egy számára megfelelő IP cím - hostnév hozzárendelést érjen el.

A támadó saját reverse DNS rekordjait könnyen módosíthatja, így saját IP címére tetszőleges nevet állíthat be, egész egyszerűen. Ha a célpont nem használ tcp-wrapper-t vagy hasonló szoftvert a kliens nevének ellenőrzésére, könnyű célpontja az ilyen jellegű támadásoknak.

A következőkben a célpont DNS szervere manipulációjának következményeit részletezzük.

Az első esetben ismét a már használt felállással dolgozunk: A és B egymással akarnak kommunikálni, de ott van C , aki át akarja venni B helyét. C tehát megnézi B name server-ének címét és betör rá (ha tud), átállítja B IP címét a sajátjára. Ezután A , ha B hostnevét használja a kapcsolat felvételéhez és nem ellenőrzi annak valódiságát (azaz nem kéri B reverse name server-étől a nevéhez tartozó IP címet), akkor B helyett C -vel fog kommunikálni. Az ilyen jellegű támadások ellen elég jó védelmet nyújt a tcp-wrapper, illetve a megfelelő kliens és szerver programok használata, persze csak akkor, ha a reverse name server nem ugyanazon a gépen van, amin a célpont primary name szervere. A name server-en - amennyiben lehetséges - megfelelő megelőző intézkedéseket kell érvényesíteni. A legjobb megoldás, ha a bind kivételével más szolgáltatás nem fut. Így a legkisebb az esélye egy esetleges betörésnek.

Az előző támadási forma természetesen megvalósíthatatlan, amennyiben a célpont name server nem feltörhető. Léteznek viszont más technikák, amelyek nem igénylik ezt.

A támadónak lehetősége van rekurzív DNS kérésekkel bombázni a célpontot mindaddig, amíg annak cache-e be nem telik. Amikor ez megtörtént, a támadónak nincs más dolga, mint a kiválasztott host IP címét kérni a szervertől, majd amikor a szerver kérést intéz a felette álló name server-hez (mivel a saját cache-ében a választ nem találja), a DNS kérés sequence number-ét (sajnos nem tudok erre találóbb magyar kifejezést) megjósolva meghamisított csomagokkal bombázni a szervert. Így lehetővé válik számára, hogy a választ ő maga generálva, tetszése szerinti IP címet rendeljen az adott host-hoz.

A rekurzív kérések kiszolgálása letiltható a következő módon:

Saját hálózatunk számára felülbírálhatjuk a tiltást a következő módon (csak 8.x bind verzióval működik, mivel a 4.x nem támogatja az ACL-ek használatát):


next up previous contents
Next: TCP spoofing/hijacking - sequence Up: Megszemélyesítés Previous: ARP address spoofing   Contents

1999-12-21