DNS POISONING Année académique 2003-04 Université de Liège Dumont R. 2LINF Lepropre J. 2LINF Pauwels M. 2LINF.

Slides:



Advertisements
Présentations similaires
Vue d’ensemble sur l’atelier & Modèle de Registre
Advertisements

Sécurité informatique
Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.
PRESENTATION D UN DOMAINE Ou lhistoire de larbre qui cache la forêt Par le Dragon Serviable.
ADMINISTRATION RESEAU
Les fonctions dun registre Les composantes essentielles dun registre ccTLD Présentation de Daniel Karrenberg Traduit par Alain Patrick AINA.
Présentation de l’Internet
Services DNS.
SERVICE DHCP.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Conception de la sécurité pour un réseau Microsoft
Yonel Grusson.
Cours 2182A : Implémentation, administration et maintenance d'une infrastructure réseau Microsoft® Windows Server™2003 : services réseau.
Module 6 : Gestion et analyse du système DNS
Module 7 : Résolution de noms NetBIOS à l'aide du service WINS
TRANSFER Alger – Domain Name System Nicolas Larrousse Septembre Introduction ulysse Pourquoi nommer les machines ? Tables de machines.
1 Les technologies XML Cours 4 : Les Web Services et XML- RPC Février Version 1.0 -
Authentification contre Masquarade
Les forums de discussion
Configuration de Windows Server 2008 Active Directory
Les boîtiers multiservices
SECURITE DU SYSTEME D’INFORMATION (SSI)
Scanning.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Analyse des protocoles de la couche application
Cluster De Basculement DHCP
Présenté par : Albéric Martel Fabien Dezempte 1.
Le protocole FTP.
Les relations clients - serveurs
WINDOWS Les Versions Serveurs
Développement dapplications web Authentification, session.
Le protocole de contrôle ICMP
Support des services et des serveurs
Active Directory Windows 2003 Server
Test d ’un système de détection d ’intrusions réseaux (NIDS)
Les dangers d'Internet (virus et autres)
Introduction Qu’est-ce qu’un réseau? Types de réseaux:
Techniques Internet de Base Licence 2 (Info, Maths, PC/PA) Université Jean Monnet Ruggero G. PENSA
KIWAPP IS A B2B FULL-STACK APP-MANAGEMENT TOOL KIWAPP EN QUELQUES ETAPES Octobre 2014.
L’attaque DNS Spoofing
Denial of Service and Distributed Denial of Service
MACHINES ASYNCHRONES TRIPHASÉES (principe de fonctionnement)
Le protocole d’authentification
(\> LordLogs </) VIA 09/12/2010
Les réseaux - Internet Historique Réseau local Internet Les protocoles
Les Réseaux Informatiques Serveurs réseau principaux DHCP - DNS Laurent JEANPIERRE DEUST AMMILoR.
February 2004 IAMSLIC Resource Sharing Committee, La Bibliothèque partagée IAMSLIC Z39.50 : Guide sur son contenu et les procédures de recherche.
Gestion à distance Netsh et rcmd.
Supports Physiques - Ethernet
Diaporama réalisé par Damienne PIN, Documentaliste Collège Barbara Hendricks 226 Rue du Limousin Orange LE PROBLEME DE LA QUALITE DE L ’INFORMATION.
Chapitre 2: La structure de l’Internet et son histoire
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Présenté par : walid SIDHOM
Les Réseaux Informatiques Clients & Serveurs Le protocole FTP Laurent JEANPIERRE DEUST AMMILoR.
http 1.1.  connexion persistante Browser Mozilla Firefox Adresse ip.
Yonel GRUSSON.
Le protocole DHCP.
Couche transport du modèle OSI
Configuration d'un serveur DNS
Gestion Parc Informatique Client UNIX Rémy Chaumard – BTSIRIS2 – projet GPI client UNIX – revue n1.
Les bases du protocole Modbus
Le DNS B.T.S. S.I.O – SISR3 –
Yonel Grusson1 Rejoindre un Domaine Server. Yonel Grusson2 Mises à jour manuelles Si la station Windows possède un adressage IP fixe (pas de DHCP), il.
Fonctionnalité et protocole des couches applicatives
Yonel Grusson.
Le nom de domaine n'est pas seulement une "adresse" qui va servir à se connecter sur un serveur, c'est aussi une manière de vous identifier à travers le.
Installation d’un serveur FTP avec IIS
Déploiement d’imprimantes par GPO
1 P ROTOCOLE DHCP Dynamic Host Configuration Protocol.
Transcription de la présentation:

DNS POISONING Année académique Université de Liège Dumont R. 2LINF Lepropre J. 2LINF Pauwels M. 2LINF

Sommaire Présentation du DNS Présentation du DNS Présentation de la classe d’attaques Présentation de la classe d’attaques Description de l’attaque étudiée Description de l’attaque étudiée Mise en place de l’attaque Mise en place de l’attaque Perspectives de détection Perspectives de détection

Présentation du DNS DNS  Domain Name Server DNS  Domain Name Server Serveur Web Serveur Mail Host IP

Présentation du DNS Hiérarchie des noms de domaine: Hiérarchie des noms de domaine:

Présentation du DNS Répartition des noms de domaine en zones: Répartition des noms de domaine en zones:

Présentation du DNS Structure d’un message DNS Structure d’un message DNS Transaction IDTransaction ID IP+port (source & destination)IP+port (source & destination) Une informationUne information Authentification d’une réponse DNS Authentification d’une réponse DNS Transaction ID (requête  réponse)Transaction ID (requête  réponse) IP+port (source & destination)IP+port (source & destination)

Présentation du DNS

Présentation de la classe d’attaques Principe: cette classe consiste à modifier les informations contenues ou renvoyées par un serveur DNS Principe: cette classe consiste à modifier les informations contenues ou renvoyées par un serveur DNS Causes: Causes: Les ID de transaction sont sur 16 bits. On n'a donc que ID possibles.Les ID de transaction sont sur 16 bits. On n'a donc que ID possibles. Pas de réelle procédure d’authentification des serveurs DNS.Pas de réelle procédure d’authentification des serveurs DNS.

Corruption du traficCorruption du trafic Intercepter les messages DNS et les corrompre. Intercepter les messages DNS et les corrompre. Corruption de zonesCorruption de zones Corrompre le fichier de transfert de zones entre un serveur primaire et ses serveurs secondaires. Corrompre le fichier de transfert de zones entre un serveur primaire et ses serveurs secondaires.  Différents types d’attaque: Pollution de la cachePollution de la cache Empoisonner la cache d’un serveur DNS cible. Empoisonner la cache d’un serveur DNS cible.

BIND birthday attack Joindre des informations supplémentaires aux réponses Prédire le prochain ID de transaction sur base d’ID déjà apparus Pollution de la cachePollution de la cache Empoisonner la cache d’un serveur DNS cible. Empoisonner la cache d’un serveur DNS cible.  Différents types d’attaque:

Cette classe d’attaques est-elle toujours utilisée? Cette classe d’attaques est-elle toujours utilisée? Tout dépend de l’attaque choisie BIND birthday attack  dépend de la version de BIND Informations supplémentaires  plus utilisée Prédiction du prochain ID  toujours d’actualité

Description de l’attaque étudiée  Tout serveur DNS possède une cache Comment ? Comment ?  Le but de l’attaque est d’insérer une information falsifiée dans la cache But: accélérer les résolutions de nomsBut: accélérer les résolutions de noms Envoyer une requête de résolution et y répondre avant le serveur autoritaire

 Tout serveur DNS possède une cache  L’attaque se base sur le paradoxe de l’anniversaire Comment ? Comment ?  Le but de l’attaque est d’insérer une information falsifiée dans la cache But: accélérer les résolutions de nomsBut: accélérer les résolutions de noms Description de l’attaque étudiée

Paradoxe de l’anniversaire La probabilité qu’au moins deux personnes parmi 23 possèdent la même date d’anniversaire est supérieure à 0.5. La probabilité qu’au moins deux personnes parmi 23 possèdent la même date d’anniversaire est supérieure à 0.5. Envoyer plusieurs requêtes et le même nombre de réponses afin d’augmenter la probabilité de collision.

Paradoxe de l’anniversaire DNS autoritaire DNS cible ID utilisés par le pirateID utilisés entre le DNS cible et autoritaire

Attaque de l’anniversaire

Description de l’attaque étudiée L’attaque a été réalisée sur un serveur DNS installé sur une Red Hat 6.2 muni de Bind8.2.2_p5-9 L’attaque a été réalisée sur un serveur DNS installé sur une Red Hat 6.2 muni de Bind8.2.2_p5-9 L’attaque peut être lancée à partir de n’importe quelle machine L’attaque peut être lancée à partir de n’importe quelle machine

Mise en place de l’attaque Phase1: découvrir le numéro de port assigné au pirate (machine A) par le DNS cible. But: l’utiliser pour l’authentification des réponses

Mise en place de l’attaque Phase2: effectuer une requête et y répondre But: polluer la cache en étant plus rapide que le serveur légitime

Mise en place de l’attaque Phase 3: la machine B émet une requête et obtient une réponse vérolée.

Les symptômes de l’attaque étudiée Attaque réussie / échouée Attaque réussie / échouée Effectuer une requête DNS sur le serveur cible à l’aide de l’utilitaire « dig », et analyser sa réponse pour en tirer une conclusion. Attaque en cours Attaque en cours Au niveau du DNS « banque.fr », on peut éventuellement remarquer une courte attaque (DoS) visant à diminuer sa vitesse de réponse. Au niveau du DNS cible, on peut remarquer:

Les symptômes de l’attaque étudiée Attaque en cours Attaque en cours Au niveau du DNS « banque.fr », on peut éventuellement remarquer une courte attaque (DoS) visant à diminuer sa vitesse de réponse. Au niveau du DNS cible, on peut remarquer: La réception simultanée de multiples requêtes pour un même nom de domaine La réception de réponses comportant un mauvais ID de transaction ou un mauvais numéro de port

Les symptômes de la classe Attaque réussie / échouée Attaque réussie / échouée Réception d'une fausse information Attaque en cours Attaque en cours Les symptômes ne sont pas toujours identiques. Corruption du trafic Corruption de zones

Problèmes rencontrés Installation du serveur DNS Installation du serveur DNS Condition de course entre le serveur autoritaire et les réponses vérolées. Condition de course entre le serveur autoritaire et les réponses vérolées. Compréhension du Perl Compréhension du Perl Faible documentation Faible documentation Peu de scripts Peu de scripts L’attaque a réussi mais :

Perspectives de détection Attaque en cours: Attaque en cours: La détection doit se faire sur le DNS cible ou sur un réseau local connecté à celui-ci.La détection doit se faire sur le DNS cible ou sur un réseau local connecté à celui-ci. Pistes de détection:Pistes de détection: Essayer de détecter le fait qu’il y ait plusieurs réponses pour une même requête. Essayer de détecter le fait qu’il y ait plusieurs réponses pour une même requête. Essayer de détecter la réception de plusieurs requêtes simultanées partageant le même nom de domaine. Essayer de détecter la réception de plusieurs requêtes simultanées partageant le même nom de domaine. Attaque réussie / ratée : Attaque réussie / ratée : Il est difficile au propriétaire d’un nom de domaine de savoir s’il est piraté.Il est difficile au propriétaire d’un nom de domaine de savoir s’il est piraté.

Sources "Computer Networks - Fourth Edition", Andrew S. Tanenbaum, Prentice Hall, 2003, ISBN: "Computer Networks - Fourth Edition", Andrew S. Tanenbaum, Prentice Hall, 2003, ISBN: "Computer Networks - Fourth Edition" "Computer Networks - Fourth Edition" "Les faiblesses du DNS", Gilles Guette (IRISA/INRIA) et Bernard Cousin (IRISA/Univ- Rennes 1) "Les faiblesses du DNS", Gilles Guette (IRISA/INRIA) et Bernard Cousin (IRISA/Univ- Rennes 1) "Les faiblesses du DNS" "Les faiblesses du DNS" "DNS Cache Poisoning - The Next Generation", Joe Stewart, GCIH, janvier 2003 "DNS Cache Poisoning - The Next Generation", Joe Stewart, GCIH, janvier 2003 "DNS Cache Poisoning - The Next Generation" "DNS Cache Poisoning - The Next Generation" "Attacking The DNS Protocol", Security Associates Institute, octobre 2003 "Attacking The DNS Protocol", Security Associates Institute, octobre 2003 "Attacking The DNS Protocol" "Attacking The DNS Protocol" "Why is securing zone transfer is necessary?", Steven Lau, version 2.0, GIAC, mars 2003 Scripts: Détection du port de communication: "Why is securing zone transfer is necessary?", Steven Lau, version 2.0, GIAC, mars 2003 Scripts: Détection du port de communication: "Why is securing zone transfer is necessary?" "Why is securing zone transfer is necessary?" Attaque proprement dite: Attaque proprement dite: