La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

DNS POISONING Année académique 2003-04 Université de Liège Dumont R. 2LINF Lepropre J. 2LINF Pauwels M. 2LINF.

Présentations similaires


Présentation au sujet: "DNS POISONING Année académique 2003-04 Université de Liège Dumont R. 2LINF Lepropre J. 2LINF Pauwels M. 2LINF."— Transcription de la présentation:

1 DNS POISONING Année académique 2003-04 Université de Liège Dumont R. 2LINF Lepropre J. 2LINF Pauwels M. 2LINF

2 Sommaire Présentation du DNS Présentation du DNS Présentation de la classe d’attaques Présentation de la classe d’attaques Description de l’attaque étudiée Description de l’attaque étudiée Mise en place de l’attaque Mise en place de l’attaque Perspectives de détection Perspectives de détection

3 Présentation du DNS DNS  Domain Name Server DNS  Domain Name Server Serveur Web Serveur Mail Host IP

4 Présentation du DNS Hiérarchie des noms de domaine: Hiérarchie des noms de domaine:

5 Présentation du DNS Répartition des noms de domaine en zones: Répartition des noms de domaine en zones:

6 Présentation du DNS Structure d’un message DNS Structure d’un message DNS Transaction IDTransaction ID IP+port (source & destination)IP+port (source & destination) Une informationUne information Authentification d’une réponse DNS Authentification d’une réponse DNS Transaction ID (requête  réponse)Transaction ID (requête  réponse) IP+port (source & destination)IP+port (source & destination)

7 Présentation du DNS

8 Présentation de la classe d’attaques Principe: cette classe consiste à modifier les informations contenues ou renvoyées par un serveur DNS Principe: cette classe consiste à modifier les informations contenues ou renvoyées par un serveur DNS Causes: Causes: Les ID de transaction sont sur 16 bits. On n'a donc que 65536 ID possibles.Les ID de transaction sont sur 16 bits. On n'a donc que 65536 ID possibles. Pas de réelle procédure d’authentification des serveurs DNS.Pas de réelle procédure d’authentification des serveurs DNS.

9 Corruption du traficCorruption du trafic Intercepter les messages DNS et les corrompre. Intercepter les messages DNS et les corrompre. Corruption de zonesCorruption de zones Corrompre le fichier de transfert de zones entre un serveur primaire et ses serveurs secondaires. Corrompre le fichier de transfert de zones entre un serveur primaire et ses serveurs secondaires.  Différents types d’attaque: Pollution de la cachePollution de la cache Empoisonner la cache d’un serveur DNS cible. Empoisonner la cache d’un serveur DNS cible.

10 BIND birthday attack Joindre des informations supplémentaires aux réponses Prédire le prochain ID de transaction sur base d’ID déjà apparus Pollution de la cachePollution de la cache Empoisonner la cache d’un serveur DNS cible. Empoisonner la cache d’un serveur DNS cible.  Différents types d’attaque:

11 Cette classe d’attaques est-elle toujours utilisée? Cette classe d’attaques est-elle toujours utilisée? Tout dépend de l’attaque choisie BIND birthday attack  dépend de la version de BIND Informations supplémentaires  plus utilisée Prédiction du prochain ID  toujours d’actualité

12 Description de l’attaque étudiée  Tout serveur DNS possède une cache Comment ? Comment ?  Le but de l’attaque est d’insérer une information falsifiée dans la cache But: accélérer les résolutions de nomsBut: accélérer les résolutions de noms Envoyer une requête de résolution et y répondre avant le serveur autoritaire

13  Tout serveur DNS possède une cache  L’attaque se base sur le paradoxe de l’anniversaire Comment ? Comment ?  Le but de l’attaque est d’insérer une information falsifiée dans la cache But: accélérer les résolutions de nomsBut: accélérer les résolutions de noms Description de l’attaque étudiée

14 Paradoxe de l’anniversaire La probabilité qu’au moins deux personnes parmi 23 possèdent la même date d’anniversaire est supérieure à 0.5. La probabilité qu’au moins deux personnes parmi 23 possèdent la même date d’anniversaire est supérieure à 0.5. Envoyer plusieurs requêtes et le même nombre de réponses afin d’augmenter la probabilité de collision.

15 Paradoxe de l’anniversaire DNS autoritaire DNS cible ID utilisés par le pirateID utilisés entre le DNS cible et autoritaire

16 Attaque de l’anniversaire

17 Description de l’attaque étudiée L’attaque a été réalisée sur un serveur DNS installé sur une Red Hat 6.2 muni de Bind8.2.2_p5-9 L’attaque a été réalisée sur un serveur DNS installé sur une Red Hat 6.2 muni de Bind8.2.2_p5-9 L’attaque peut être lancée à partir de n’importe quelle machine L’attaque peut être lancée à partir de n’importe quelle machine

18 Mise en place de l’attaque Phase1: découvrir le numéro de port assigné au pirate (machine A) par le DNS cible. But: l’utiliser pour l’authentification des réponses

19 Mise en place de l’attaque Phase2: effectuer une requête et y répondre But: polluer la cache en étant plus rapide que le serveur légitime

20 Mise en place de l’attaque Phase 3: la machine B émet une requête et obtient une réponse vérolée.

21 Les symptômes de l’attaque étudiée Attaque réussie / échouée Attaque réussie / échouée Effectuer une requête DNS sur le serveur cible à l’aide de l’utilitaire « dig », et analyser sa réponse pour en tirer une conclusion. Attaque en cours Attaque en cours Au niveau du DNS « banque.fr », on peut éventuellement remarquer une courte attaque (DoS) visant à diminuer sa vitesse de réponse. Au niveau du DNS cible, on peut remarquer:

22 Les symptômes de l’attaque étudiée Attaque en cours Attaque en cours Au niveau du DNS « banque.fr », on peut éventuellement remarquer une courte attaque (DoS) visant à diminuer sa vitesse de réponse. Au niveau du DNS cible, on peut remarquer: La réception simultanée de multiples requêtes pour un même nom de domaine La réception de réponses comportant un mauvais ID de transaction ou un mauvais numéro de port

23 Les symptômes de la classe Attaque réussie / échouée Attaque réussie / échouée Réception d'une fausse information Attaque en cours Attaque en cours Les symptômes ne sont pas toujours identiques. Corruption du trafic Corruption de zones

24 Problèmes rencontrés Installation du serveur DNS Installation du serveur DNS Condition de course entre le serveur autoritaire et les réponses vérolées. Condition de course entre le serveur autoritaire et les réponses vérolées. Compréhension du Perl Compréhension du Perl Faible documentation Faible documentation Peu de scripts Peu de scripts L’attaque a réussi mais :

25 Perspectives de détection Attaque en cours: Attaque en cours: La détection doit se faire sur le DNS cible ou sur un réseau local connecté à celui-ci.La détection doit se faire sur le DNS cible ou sur un réseau local connecté à celui-ci. Pistes de détection:Pistes de détection: Essayer de détecter le fait qu’il y ait plusieurs réponses pour une même requête. Essayer de détecter le fait qu’il y ait plusieurs réponses pour une même requête. Essayer de détecter la réception de plusieurs requêtes simultanées partageant le même nom de domaine. Essayer de détecter la réception de plusieurs requêtes simultanées partageant le même nom de domaine. Attaque réussie / ratée : Attaque réussie / ratée : Il est difficile au propriétaire d’un nom de domaine de savoir s’il est piraté.Il est difficile au propriétaire d’un nom de domaine de savoir s’il est piraté.

26 Sources "Computer Networks - Fourth Edition", Andrew S. Tanenbaum, Prentice Hall, 2003, ISBN: 0-13- 066102-3 "Computer Networks - Fourth Edition", Andrew S. Tanenbaum, Prentice Hall, 2003, ISBN: 0-13- 066102-3 "Computer Networks - Fourth Edition" "Computer Networks - Fourth Edition" "Les faiblesses du DNS", Gilles Guette (IRISA/INRIA) et Bernard Cousin (IRISA/Univ- Rennes 1) "Les faiblesses du DNS", Gilles Guette (IRISA/INRIA) et Bernard Cousin (IRISA/Univ- Rennes 1) "Les faiblesses du DNS" "Les faiblesses du DNS" "DNS Cache Poisoning - The Next Generation", Joe Stewart, GCIH, janvier 2003 "DNS Cache Poisoning - The Next Generation", Joe Stewart, GCIH, janvier 2003 "DNS Cache Poisoning - The Next Generation" "DNS Cache Poisoning - The Next Generation" "Attacking The DNS Protocol", Security Associates Institute, octobre 2003 "Attacking The DNS Protocol", Security Associates Institute, octobre 2003 "Attacking The DNS Protocol" "Attacking The DNS Protocol" "Why is securing zone transfer is necessary?", Steven Lau, version 2.0, GIAC, mars 2003 Scripts: Détection du port de communication: http://www.securityfocus.com/guest/17905 "Why is securing zone transfer is necessary?", Steven Lau, version 2.0, GIAC, mars 2003 Scripts: Détection du port de communication: http://www.securityfocus.com/guest/17905 "Why is securing zone transfer is necessary?" "Why is securing zone transfer is necessary?" Attaque proprement dite: http://www.sainstitute.org/articles/tools/hds0.pl Attaque proprement dite: http://www.sainstitute.org/articles/tools/hds0.pl


Télécharger ppt "DNS POISONING Année académique 2003-04 Université de Liège Dumont R. 2LINF Lepropre J. 2LINF Pauwels M. 2LINF."

Présentations similaires


Annonces Google