Lectures for 2008 - KTH
Lectures for 2008 - KTH
Lectures for 2008 - KTH
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS<br />
___________________________________________________________________________<br />
;; Query time: 6 msec<br />
;; SERVER: 130.237.72.250#53(ns.kth.se)<br />
;; WHEN: Sun Oct 30 14:38:47 2005<br />
;; MSG SIZE rcvd: 51<br />
I exemplet ovan ser vi att DNS-servern ns.kth.se kör version 9.2.2 patchnivå 1 av DNSprogramvaran<br />
bind. Modernare metoder att kontrollera programtyp och programversion<br />
inkluderar att använda program som fpdns 82 , vilket utifrån fråge-svarsdialogen via<br />
fingeravtrycksmetodik kan karaktärisera vilken DNS-serverprogramvara som svarar på<br />
frågan. Genom att hämta ut in<strong>for</strong>mation ur whois-databasen kan det i vissa fall gå att stjäla<br />
personin<strong>for</strong>mation, e-postadresser, med mera. Historiskt har det gått att hämta mycket<br />
in<strong>for</strong>mation via olika domänadministratörers whois-databaser. Allt eftersom missbruk av<br />
in<strong>for</strong>mationen ökat samt lagstiftning om personin<strong>for</strong>mation lagt begränsningar har den publikt<br />
tillgängliga in<strong>for</strong>mationen minskat.<br />
Zonöverföringar (eng. zone transfer), när någon hämtar ut all DNS-in<strong>for</strong>mation om en viss<br />
domän, kan vara ett steg i in<strong>for</strong>mationsinsamlingen. Zonöverföring sker normalt från en<br />
primär DNS-server och de sekundära servrar som genom att spegla zonen därefter kan svara<br />
på domänfrågor. Den insamlade in<strong>for</strong>mationen kan användas i senare attacker.<br />
Ett annat sätt är att nyttja specialprogramvara som automatiskt traverserar en zon, exempelvis<br />
walker 83 . Huruvida hela zonin<strong>for</strong>mationen är tillgänglig eller ej beror på policymässiga frågor<br />
- anser domäninnehavaren att in<strong>for</strong>mationen har kommersiellt intresse eller skall vara fritt<br />
tillgänglig, likväl som tekniska frågor - hur har domänad-ministratören konfigurerat (eller inte<br />
vetat om konfigurationenför ) zonen. Statistik från en större kontroll 2005 av mer än 1000,000<br />
zoner i .com-domänen visar att mer än 40% av alla zoner tillät zonetransfer 84 .<br />
Att spärra den DNS-zonfilen som beskriver externt åtkomliga system från åtkomst för<br />
utomstående har som regel liten säkerhetshöjande effekt. Det gäller dock att tänka på vilken<br />
in<strong>for</strong>mation som finns lagrad i DNS-datat, tex om DNS-administratören varit alltför nitisk och<br />
namngivit alla brandväggens interface för explicit och ingående.<br />
7.6.2 Tillgänglighetsförlustattack mot DNS<br />
En typ av attack som skulle kunna ställa till mycket problem attacker för att skapa<br />
tillgänglighetsförlust (eng. DoS attack). Genom att slå ut en eller fler servers eller genom att<br />
överlasta tjänsten kan potentiellt DNS-in<strong>for</strong>mation om en viss domän störas ut. Några olika<br />
typer av tillgänglighetsförlustattacker är:<br />
• överlasta en specifik DNS-tjänsten med alltför många frågor.<br />
• överlasta kommunikationslänkarna som ansluter en specifik DNS-serverdatorn så att<br />
inte DNS-servern kan nås eller skicka tillbaka svar 85 . Överlastningen kan ske via<br />
DNS-frågor eller via något annat protokoll, exempelvis upprepade ICMP echo request<br />
(dvs ping).<br />
82 Roy Arends & Jakob Schlyter (2003) fpdns - Fingerprinting DNS servers. http://www.rfc.se/fpdns/<br />
83 Josefsson, Simon. DNSSEC Walker. http://www.josefsson.org/walker/<br />
84 The Measurement Factory (2005) DNS SURVEY: JUNE 2005 http://dns.measurement-factory.com/<br />
surveys/200506.html<br />
85 CERT-CC (2000). Denial of Service Attacks using Nameservers. http://www.cert.org/<br />
incident_notes/IN-2000-04.html<br />
Copyright (c) 2003-<strong>2008</strong> Robert Malmgren AB. All rights reserved Sid 116 (139)