DNSBomb : cette nouvelle attaque DoS basée sur le DNS
-
Blague à part, moi, c’est le récursive resolver qui m’interpelle.
-
Ouais, chais pas ce que c’est mais je ne suis pas un spécialiste DNS.
Dans ce cas, c’est RTFM… -
bonsoir, j’ai bien aimé le chat, il ressemble au mien
-
V:\> █░░ SPR3AD TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW… -
@Violence Merci, mais ça n’explique pas l’amplification, même en cherchant des adresses qui n’existent pas, il ne devrait y avoir qu’un seul échange par dns récursif (et les caches ne sont pas fait pour les chiens), au pire, même si un serveur récursif interroge d’autres serveurs récursifs, je ne vois pas où l’amplification se fait, le retour devrait être juste adress not found par chaque machine.
Bon, ils n’allaient pas non plus donner la méthode exacte pour casser une cible, mais c’est quand même pas très crédible comme expliqué ci-dessus.
Je sais que j’en suis resté aux protocoles de l’époque héroïque (ou au moins IP V4), mais quand même…
Nulle loi d’airain gravée au marbre des remparts, car tout client dépend d’un serveur aux hasards. (ChatGPT)
-
@Violence La seule chose qui est claire, c’est que c’est pas trop à divulguer, même si le problème est déjà résolu (socradar):
À la suite de ce travail, une série de correctifs efficaces ont été conçus et divulgués de manière responsable aux fournisseurs concernés. À ce jour, ce travail a abouti à la reconnaissance de 24 fournisseurs, dont les responsables de BIND , Unbound , PowerDNS et Knot , tous travaillant sur des correctifs de code basés sur les solutions proposées. Au total, 10 CVE-ID ont été attribués aux vulnérabilités découvertes dans le cadre de cette recherche.
-
Tu as le PPT en pdf des chercheurs d’ou sort le schema non crédible de l’article
V:\> █░░ SPR3AD TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW… -
@Violence Merci, mais ça n’explique pas l’amplification, même en cherchant des adresses qui n’existent pas, il ne devrait y avoir qu’un seul échange par dns récursif (et les caches ne sont pas fait pour les chiens), au pire, même si un serveur récursif interroge d’autres serveurs récursifs, je ne vois pas où l’amplification se fait, le retour devrait être juste adress not found par chaque machine.
Bon, ils n’allaient pas non plus donner la méthode exacte pour casser une cible, mais c’est quand même pas très crédible comme expliqué ci-dessus.
Je sais que j’en suis resté aux protocoles de l’époque héroïque (ou au moins IP V4), mais quand même…
@duJambon a dit dans DNSBomb : cette nouvelle attaque DoS basée sur le DNS :
@Violence Merci, mais ça n’explique pas l’amplification, même en cherchant des adresses qui n’existent pas, il ne devrait y avoir qu’un seul échange par dns récursif (et les caches ne sont pas fait pour les chiens), au pire, même si un serveur récursif interroge d’autres serveurs récursifs, je ne vois pas où l’amplification se fait, le retour devrait être juste adress not found par chaque machine.
@duJambon
Ton raisonnement est correct et ça peut paraître contre-intuitif, mais ces requêtes ne sont pas des requêtes DNS normales (address not found). L’amplification utilise ici des requêtes pour des types d’enregistrements qui génèrent des réponses plus grandes que les requêtes initiales (ex : une requête ANY va demander toutes les infos sur le domaine
amplification). Il s’agit donc, si j’ai bien compris, de manipuler le serveur récursif pour qu’il effectue des requêtes supplémentaires ou pour qu’il évite de mettre en cache les réponses.Snort est capable de détecter ces anomalies DNS…
Bref, en matière de sécurité, il faut des configs irréprochables (c’est à dire être parano
) -
@duJambon a dit dans DNSBomb : cette nouvelle attaque DoS basée sur le DNS :
@Violence Merci, mais ça n’explique pas l’amplification, même en cherchant des adresses qui n’existent pas, il ne devrait y avoir qu’un seul échange par dns récursif (et les caches ne sont pas fait pour les chiens), au pire, même si un serveur récursif interroge d’autres serveurs récursifs, je ne vois pas où l’amplification se fait, le retour devrait être juste adress not found par chaque machine.
@duJambon
Ton raisonnement est correct et ça peut paraître contre-intuitif, mais ces requêtes ne sont pas des requêtes DNS normales (address not found). L’amplification utilise ici des requêtes pour des types d’enregistrements qui génèrent des réponses plus grandes que les requêtes initiales (ex : une requête ANY va demander toutes les infos sur le domaine amplification). Il s’agit donc, si j’ai bien compris, de manipuler le serveur récursif pour qu’il effectue des requêtes supplémentaires ou pour qu’il évite de mettre en cache les réponses.Snort est capable de détecter ces anomalies DNS…
Bref, en matière de sécurité, il faut des configs irréprochables (c’est à dire être parano )@Indigostar a dit dans DNSBomb : cette nouvelle attaque DoS basée sur le DNS :
Il s’agit donc, si j’ai bien compris, de manipuler le serveur récursif pour qu’il effectue des requêtes supplémentaires ou pour qu’il évite de mettre en cache les réponses.
Oui c’est à peu près cela si j’ai bien compris aussi @Indigostar
C’est bien l’attaquant qui manipule le résolveur DNS via des techniques PDOS avec des requêtes et réponses DNS spécifiques en exploitant la faille CVE. Cela lui permet d’effectuer l’attaque expliquée (effet, et vecteur d’amplification)
L’attaque DNSBomb exploite donc la nature récursive des serveurs DNS pour ensuite amplifier le trafic jusqu’à un niveau exponentiel avec un acteur d’amplification de x20 000. L’attaquant créé et utilise ses requêtes DNS malveillantes qui, finalement, deviennent des énormes flux de trafic inondant directement les systèmes visés.
V:\> █░░ SPR3AD TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW… -
@Indigostar a dit dans DNSBomb : cette nouvelle attaque DoS basée sur le DNS :
Il s’agit donc, si j’ai bien compris, de manipuler le serveur récursif pour qu’il effectue des requêtes supplémentaires ou pour qu’il évite de mettre en cache les réponses.
Oui c’est à peu près cela si j’ai bien compris aussi @Indigostar
C’est bien l’attaquant qui manipule le résolveur DNS via des techniques PDOS avec des requêtes et réponses DNS spécifiques en exploitant la faille CVE. Cela lui permet d’effectuer l’attaque expliquée (effet, et vecteur d’amplification)
L’attaque DNSBomb exploite donc la nature récursive des serveurs DNS pour ensuite amplifier le trafic jusqu’à un niveau exponentiel avec un acteur d’amplification de x20 000. L’attaquant créé et utilise ses requêtes DNS malveillantes qui, finalement, deviennent des énormes flux de trafic inondant directement les systèmes visés.
@Violence Damned, mais c’est la fission nucléaire que tu nous décris là!
la chaîne du bonheur qui aurait abouti.
Bonjour ! Vous semblez intéressé par cette conversation, mais vous n’avez pas encore de compte.
Marre de refaire défiler les mêmes messages ? Créez un compte pour retrouver votre position, recevoir des notifications des nouvelles réponses, sauvegarder vos favoris et voter pour les messages que vous appréciez.
Grâce à votre participation, ce message peut devenir encore meilleur 💗
S'inscrire Se connecter