Bonjour
Il reste quand même plus simple, plus efficace et plus impactant de
corrompre le cache du resolver que d'attaquer directement le client. À
moins d'avoir la vue sur le trafic (corruption de cache ARP
typiquement).
Oui et non.
Parcequ'on peut compter que les serveurs récursifs seront globalement
assez rapidement mis à jour.
Alors que les couches de résolution des clients, il faudra probablement
nettement plus de temps. Sans compter les divers routeurs end-users
(Machinbox, modem/routeur, ...) qui ne seront peut-être jamais mis à
jour.
Concernant les machinsbox et autres routeurs Grand Public (donc pas de
b2b), generalement on evite de faire du cashing DNS (memoire, CPU etc).
La methode "generale" est juste de faire un DNS proxy (voir meme de
faire de bonnes vielles regles IPtables et de forger et rediriger le
packet dans les deux sens vers le DNS de l'ISP avec comme source l'ip
publique du routeur, et refaire un coup de NAT dans l'autres sens pour
la reponse, c'est crade je sais, mais une box est une box, c'est pas un
netscreen a 5000$...)
Et les box, ben elles n'ecoutent rien sur le port WAN (en general).
Vu la quantite de donnees a envoyer VERS la box en 24/24 sans garantie
de resultat.. c'est moyennement faisable sur une ligne avec un si petit
debit discretement !
L'impact est selon moi nettement moins grave qu'on nous le dit, car il
en faut des conditions pour pouvoir corrompre un gros cache DNS en
mettant son IP au lieu de client.mabanque.com
(sans compter apres les certificats et autres trucs funs qu'il faut
aussi avoir pour authentifier le HTTPS !)
Ok, c'est un probleme. Pour moi, c'est un probleme connu depuis TRES
longtemps. et c'est aussi l'une des raisons pour lesquelles les ISPs ont
des DNS filtrant les IPs pour lesquelles ils repondent a de la demande
de recursion.
Voila, c'etait l'alerte du probleme informatique de l'ete, qui revient
chaque annee depuis longtemps. C'est quand meme bien qu'on aie un truc
qui dit une fois par an que l'internet, c'est dangereux... En ete, les
gens sont peut etre plus receptifs..
--
Marc Lecuyer
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/