URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 131245
[ Назад ]
Исходное сообщение
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено opennews , 14-Авг-23 23:50
Группа китайских исследователей на конференции Black Hat USA 2023 раскрыла детали атаки MaginotDNS, позволяющей осуществить подстановку некорректных NS-записей в кэш DNS-серверов (отравление кэша), используемых одновременно для перенаправления запросов (forwarder) и рекурсивного определения имён (resolver). Успешное проведение атаки может привести к обращению к неверным DNS-серверам, отдающим ложные сведения о целевом домене, и подмене атакующим целиком DNS-зон, в том числе для доменов верхнего уровня ( .com, .net, .ru и т.п.)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59598
Содержание
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 23:50 , 14-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Гашпшпщм, 00:18 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 00:29 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 18:50 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Атон, 08:01 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 14:40 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 18:54 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 20:02 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 01:22 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 08:24 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,хрю, 11:34 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 12:25 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 12:40 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 13:15 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 13:19 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 13:24 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 15:08 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 16:41 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Гашпшпщм, 09:03 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 14:39 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 10:20 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 12:19 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Анон133, 12:45 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 14:37 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,ivan_erohin, 18:06 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 20:00 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,ivan_erohin, 22:43 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 20:00 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 18:52 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 23:35 , 17-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 23:36 , 17-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Электрон, 22:53 , 17-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 23:32 , 17-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 12:49 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,bOOster, 13:10 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 14:36 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 01:11 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 07:12 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 18:54 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 20:17 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 15:47 , 17-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 23:34 , 17-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,bOOster, 11:07 , 22-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Аноним, 01:16 , 16-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,bOOster, 13:10 , 15-Авг-23
- Атака MaginotDNS, позволяющая подменить данные в кэше DNS ,Tron is Whistling, 14:42 , 15-Авг-23
Сообщения в этом обсуждении
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 14-Авг-23 23:50
> для подмены записей для запросов в режиме resolver-а через отравление кэша при манипуляции с запросами и ответами в режиме forwarder-а.А зачем кэшировать forward?
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Гашпшпщм , 15-Авг-23 00:18
Ну вот есть у тебя рекурсор для инторнета и виндузовый днс для внутренней зоны твоего example.com.
Ну и запросы во внутреннюю зону ты форвардишь, а чтобы разгрузить контроллеры домена кэшируешь пакетным кэшом и dns кэшом. А внутренних клиентов могут быть и тысячи. Поэтому это бывает полезно. Например dnsdist с этой задачей справляется прекрасно. Кроме этого на самих клиентах неплохо иметь локального кэша, dnsmasq или unbound, или systemd-resolved. Главное не ошибиться с ттл позитивного и негативного кэша во всей цепочке.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 00:29
А почему это не кэшировать на "авторитетах" вместо того что-бы кэшировать проходящий мусор в котором "ты" не компитентен.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 16-Авг-23 18:50
На auth обычно и так есть packet cache на ответы, но если есть возможность сократить трафик с 10 Гбит/с до 10 Мбит/с, то почему бы это не сделать?
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Атон , 15-Авг-23 08:01
форвардить запросы gendir.example.local в google.dns и получать корректные ответы?
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 14:40
В смысле зачем. Ты предлагаешь каждый запрос каждого васиного писюка сливать апстриму? Апстрим обидится и зобанед на веки вечные.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 18:54
А так нормально досить крайнего? Может досят и из окрестностей апстрима.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 20:02
Крайних много, а апстрим зачастую единственный и неповторимый.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 16-Авг-23 01:22
> А так нормально досить крайнего?Отношение количества рекурсоров к количеству клиентов, нагрузочная способность рекурсора, средние/пиковые значение трафика от клиента - все это связано очень простым соотношением и, если автор не дурак, учитывается при проектировании инфры.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 08:24
Какая же переусложнённая система - DNS.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено хрю , 15-Авг-23 11:34
Как и любая старая и работающая система. И да, она ещё не сложная, вот лет через 25 будет сложная +).
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 12:25
Что значит "не сложная"? Это же просто key-value хранилище. Какие-то кэши,
recursive, authoritative server, forwarder, resolver, recursive resolver, conditional dns server, bailiwick .... Зачем всё это?
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 12:40
Потому что система разрабатывалась как распределённая. Если ты согласен чтобы Гоогле контролировал всё и раздавал все имена с одного Редиса с 15ТБ памяти, тогда всё можно упростить, конечно. Но и тогда рано или поздно все стали бы кеширование велосипедить. Вообще если заново разрабатывать с нуля то будет немного попроще но не настолько.Я вот всё мечтаю о com.google.web и ru.opennet
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 13:15
Извините, распределённая система - это namecoin. И даже она проще - все узлы одноранговые.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 13:19
А DNS - это не распределённая система, а федерация. Тесно увязанная с положением компании в экосистеме и её партнёрскими отношениями с другими компаниями. То есть на самом деле система централизованная, олигополия.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 13:24
Закон Конвея>Any organization that designs a system (defined broadly) will produce a design whose structure is a copy of the organization's communication structure.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 15:08
В моём случае не работает, мои подходы например сильно оторваны от организационных - да, приходится учить соглашаться на нетиповые варианты, но результат даёт о себе знать.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 16:41
Технически распределенная. Никто не мешает тебе сделать свой gTLD ".vasyapupkin" и корневые неймсервера к нему.Организационно - да.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Гашпшпщм , 16-Авг-23 09:03
Она кроме этого ещё и иерархическая. И простая как три рубля. Не для смузибоев может быть, но простая.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 14:39
Не просто key-value, а distributed key-value. Это уже слегка посложнее ваших редисок.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 10:20
>DNS-серверы Unbound, MaraDNS и PowerDNS атаке не подвержены.Этим, собственно, новость можно было начать и закончить.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 12:19
Честно - DNS пора переводить на TCP/SSL.
Да, это добавит нагрузки, особенно большим, но с легко мудифицируемым плейнтекстом пора завязывать.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Анон133 , 15-Авг-23 12:45
Пора перестать хлебать смузи. А новость из разряда вмё пропало, но ничего в итоге не пропало, а показалось.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 14:37
Да не, плейнтекст это не о смузи.
И плейнтекст в DNS забодал безотносительно новости - простор для кулхацкеров 10 классов потрясающий.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено ivan_erohin , 15-Авг-23 18:06
не забудьте в новом стандарте сделать minTTL для всех записей = 24 часа (а лучше больше).
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 20:00
Зойчем?
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено ivan_erohin , 15-Авг-23 22:43
чтобы нагадить любителям облаков и cdn, очевидно же.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 20:00
Вот для trusted downstream forwarders поддержку постоянных соединений сделать селективно - да, была бы тема.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 16-Авг-23 18:52
> Честно - DNS пора переводить на TCP/SSL.Ага, чтобы запустить auth-серверы для домена, нужен серт. А чтобы валидировать серт по ACME (ну, или issuer-специфичным костылям), нужные работающие auth-серверы. Шах и мат!
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 17-Авг-23 23:35
Внимательнее. Смысл не в авторизации зон. Просто в предотвращении MITM.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 17-Авг-23 23:36
Ну и опять же - кто мешает серты валидировать по списку корневиков?
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Электрон , 17-Авг-23 22:53
DNS-over-TLS
DNS-over-HTTPS
DNSCrypt
А теперь сиди и разбирайся.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 17-Авг-23 23:32
RFC 7858
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 15-Авг-23 12:49
Вбивая гвоздь в бинд, неплохо бы убедиться, что твоя мошонка к нему не прибита. Ну передавите всех нас, Васянов, домовых, кому будет? Все в ЖЭК.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено bOOster , 15-Авг-23 13:10
А какой самоубийца BIND снаружи использует?
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 14:36
Я использую уже много-много лет как авторитативный сервер для клиентских доменов.
А в чём проблема-то? Смузи не пью, полёт нормальный.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 16-Авг-23 01:11
Любители bind и прочего апача обычно другую субстанцию употребляют, причём сразу ложкой.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 16-Авг-23 07:12
За любителей не скажу, но мы - не любители.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 16-Авг-23 18:54
Не любите bind?
Я тоже.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 16-Авг-23 20:17
Вы любите отвёртку?
Вот и мы нет - мы ей профессионально пользуемся.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 17-Авг-23 15:47
Использовать bind в качестве dns-сервера - это как крутить винты ph2 отвёрткой ph1.
Вроде и то, и то крестовое, но почему-то работает так себе.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 17-Авг-23 23:34
Не, ну я знаю, что обязательно надо прямо с телемагазина, раскрашенное в радугу, с рюшечками и смузи в подарок.
Но нет, ребята, нет.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено bOOster , 22-Авг-23 11:07
> Использовать bind в качестве dns-сервера - это как крутить винты ph2 отвёрткой
> ph1.
> Вроде и то, и то крестовое, но почему-то работает так себе.Внутри сети вполне себе рабочий и удобный вариант. Интеграция с DHCP и LDAP. А на внешке лично я YADIFA использую.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Аноним , 16-Авг-23 01:16
> Вбивая гвоздь в бинд, неплохо бы убедиться, что твоя мошонка к нему не прибита.Ну, моя не прибита (auth pdns, rec unbound). У кого прибита - те заслужили стерилизацию.
> Ну передавите всех нас, Васянов, домовых, кому будет?
Тише и спокойнее станет в интернете, потому что именно два любимца аникеевых - bind и msdns - в основном используются для ddos-атак dns amplification.
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено bOOster , 15-Авг-23 13:10
Yadifa тоже НЕ в списке "отличившихся"..
"Атака MaginotDNS, позволяющая подменить данные в кэше DNS "
Отправлено Tron is Whistling , 15-Авг-23 14:42
От апстрима на форварде внезапно можно получить нестандартный ответ?
ВАУ. Новость века.