Re: [FRnOG] Mise à jour BIND

Thu, 10 Jul 2008 05:14:30 -0700 

Bonjour


Il reste quand même plus simple, plus efficace et plus impactant de
corrompre le cache du resolver que d'attaquer directement le client. À
moins d'avoir la vue sur le trafic (corruption de cache ARP
typiquement).


Oui et non.
Parcequ'on peut compter que les serveurs récursifs seront globalement
assez rapidement mis à jour.
Alors que les couches de résolution des clients, il faudra probablement
nettement plus de temps. Sans compter les divers routeurs end-users
(Machinbox, modem/routeur, ...) qui ne seront peut-être jamais mis à
jour.




Concernant les machinsbox et autres routeurs Grand Public (donc pas de 
b2b), generalement on evite de faire du cashing DNS (memoire, CPU etc).



La methode "generale" est juste de faire un DNS proxy (voir meme de 
faire de bonnes vielles regles IPtables et de forger et rediriger le 
packet dans les deux sens vers le DNS de l'ISP avec comme source l'ip 
publique du routeur, et refaire un coup de NAT dans l'autres sens pour 
la reponse, c'est crade je sais, mais une box est une box, c'est pas un 
netscreen a 5000$...)

Et les box, ben elles n'ecoutent rien sur le port WAN (en general).

Vu la quantite de donnees a envoyer VERS la box en 24/24 sans garantie 
de resultat.. c'est moyennement faisable sur une ligne avec un si petit 
debit discretement !



L'impact est selon moi nettement moins grave qu'on nous le dit,  car il 
en faut des conditions pour pouvoir corrompre un gros cache DNS en 
mettant son IP au lieu de client.mabanque.com
(sans compter apres les certificats et autres trucs funs qu'il faut 
aussi avoir pour authentifier le HTTPS !)
Ok, c'est un probleme. Pour moi, c'est un probleme connu depuis TRES 
longtemps. et c'est aussi l'une des raisons pour lesquelles les ISPs ont 
des DNS filtrant les IPs pour lesquelles ils repondent a de la demande 
de recursion.



Voila, c'etait l'alerte du probleme informatique de l'ete, qui revient 
chaque annee depuis longtemps. C'est quand meme bien qu'on aie un truc 
qui dit une fois par an que l'internet, c'est dangereux... En ete, les 
gens sont peut etre plus receptifs..


--
Marc Lecuyer
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
























					Répondre à