On Tue, Oct 13, 2020 at 11:49:01AM +0200, Paul Rolland (ポール・ロラン) <[email protected]> wrote a message of 33 lines which said:
> Moi, je lis : "... indicating that our spoofed queries successfully > penetrated the network", et c'est cette partie-la qui m'intrigue... > > Sachant que la source a ete spoofee, peu de chance qu'ils puissent utiliser > les reponses pour verifier que la query a bien penetree... Je suis apparemment le seul à avoir lu en entier le message des chercheurs. Ils le disent bien : ils regardent sur un serveur faisant autorité si la requête a bien été acceptée et traitée par le résolveur. Donc, méthodologie : 1) Créer un domaine avec un serveur faisant autorité, mettons "ledomaine" 2) Y lancer tcpdump 3) Demander (avec adresse IP usurpée) au résolveur de résoudre ID-54556.ledomaine 4) Si tcpdump montre une requête pour ID-54556.ledomaine, c'est que le résolveur a reçu la requête avec l'adresse source usurpée. En Scapy : i = IPv6() i.src = "adresse source usurpée" i.dst = "adresse résolveur" d = TCP(sport=4978,dport=53)/DNS(rd=1,id=666,qd=DNSQR(qname="ID-54556.ledomaine")) sr1(i/d) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
