id: Гость   вход   регистрация
текущее время 20:00 28/03/2024
создать
просмотр
ссылки

Есть ли защита от DNS-спуфинга?


Добрый день! Вот такая модель угрозы: человек находится посередине между вами и вашим интренет-провайдером.


При вашей попытке отправить DNS-запрос он перехватывает сообщение, уничтожает его и отсылает обратно поддельный ответ.


Есть ли защита от такого?


Я так понимаю, что это одна из многих видов DNS-спуфинга. Также можно подделывать кэш DNS сервера. Какие еще виды DNS-спуфинга существуют? Есть ли защита от них?


При использовании TOR, выходная нода тоже может спуфить DNS?


 
На страницу: 1, 2, 3 След.
Комментарии
— SATtva (06/09/2012 12:52, исправлен 06/09/2012 12:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

DNSSEC, OpenDNSCrypt. /Поиск Вам в помощь.


При использовании TOR, выходная нода тоже может спуфить DNS?

А то! И с Tor приведённые выше методы не работают.

— Гость (06/09/2012 13:44)   <#>
Вот оно как..

Тогда как вот такая идея: софт, работающий через TOR, отправляющий DNS-запросы по трём различным цепочкам. Сравнивает три ответа на предмет спуфинга. Плюс можно дополнительно отправлять DNS-запрос через провайдера на предмет спуфинга локального (от тебя до провайдера).

Думаю, что идея не нова.. Есть ли готовые реализации?
— SATtva (06/09/2012 14:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В каком софте это должно быть реализовано? Что, если этот софт использует стандартный резолвер ОС, а не собственный? Как он должен себя вести, если полученные ответы не согласуются?

Плюс можно дополнительно отправлять DNS-запрос через провайдера на предмет спуфинга локального (от тебя до провайдера).

То есть самостоятельно устраивать утечку DNS-запроса?
— Гость (06/09/2012 14:53)   <#>
А смысл проверять спуфинг днс со стороны эксита, ну получили вы самый настоящий адрес, и что? Эксит всё равно, чуть менее чем полностью, контролирует адрес назначения к которому будет подключаться, пусть это будет хоть 146% достоверный ип-адрес запрошенный вами. В вашей схеме проверок тор лишняя деталь.
— Гость (06/09/2012 15:28)   <#>
То есть самостоятельно устраивать утечку DNS-запроса?


В вашей схеме проверок тор лишняя деталь.


Господа, вы не поняли. ТОР – средство проверки того, пытаются ли произвести локальный DNS-спуфинг. Имеется ввиду, что не требуется анонимность. По ТОР отправляются/получается только DNS-запросы/ответы. Трафик идет прямым каналом через провайдера.

В каком софте это должно быть реализовано?


ну допустим, типа tornslookup.

Что, если этот софт использует стандартный резолвер ОС, а не собственный?


насколько мне известно, в пакете ТОР есть собственный DNS форвардер. можно присобачить его.
— SATtva (06/09/2012 15:34)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Исходники открыты, можете приспособить под свои нужды.

ТОР – средство проверки того, пытаются ли произвести локальный DNS-спуфинг.

Хотите изобрести собственный велосипед с преферансом и поэтессами? Почему нельзя использовать готовые механизмы, мне решительно непонятно.
— Гость (06/09/2012 15:41)   <#>
Как он должен себя вести, если полученные ответы не согласуются?


в принципе это не главное (для tornslookup), можно просто выдать предупреждение.

но если конкретизировать, то возможны следующие варианты.

1. DNS-ответ от провайдера и от тор-нод совпадают – всё хорошо
2. DNS-ответ от провайдера и от тор-нод НЕ совпадают – прослушивание локальное (на стороне провайдера)
3. DNS-ответ от провайдера совпадает только с двумя из трёх нод – прослушивание удаленное (на стороне ноды)
4. DNS-ответ от провайдера совпадает только с одной из трёх нод – ZOG!!! =))

Всегда есть вероятность ошибки.. Например, в варианте №2 – противник установил DNS-спуферы на все три ноды, и только твой родной провайдер не врёт.. =)
— Гость (06/09/2012 15:44)   <#>
Почему нельзя использовать готовые механизмы, мне решительно непонятно.


Я уже спрашивал

Например какие?

Если вы имеете ввиду DNSSEC и прочие, то для этого нужно, насколько мне известно, чтобы администратор веб-сайта позаботился об этом, не так ли?
— SATtva (06/09/2012 15:49)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
но если конкретизировать, то возможны следующие варианты.

Это не то, о чём я спрашиваю. Какие ответы должен давать этот гипотетический резолвер? Они должны быть чисто текстовые, т.е. работа с программой предполагается исключительно в ручном режиме?

Если вы имеете ввиду DNSSEC и прочие, то для этого нужно, насколько мне известно, чтобы администратор веб-сайта позаботился об этом, не так ли?

OpenDNSCrypt'у не нужно ничего, кроме использования DNS-серверов OpenDNS.
— Гость (06/09/2012 16:09)   <#>
Какие ответы должен давать этот гипотетический резолвер? Они должны быть чисто текстовые, т.е. работа с программой предполагается исключительно в ручном режиме?


Думаю, хотя бы сделать консольное приложение, а потом посмотрим, как попрёт)))

Против OpenDNSCrypt сказать ничего не могу, за исключением того, что нужно доверять их сервису. Конечно, вероятность целенаправленной атаки против меня мала.

Также, считаю, всегда нужны альтернативные средства защиты. Комплексный подход к безопасности же!)
— SATtva (06/09/2012 16:32)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Думаю, хотя бы сделать консольное приложение, а потом посмотрим, как попрёт)))

"Как попрёт" — это отличное инженерное требование.

Для консоли напишите простой скрипт, перестраивающий цепочки Tor'а (или просто перезапускающее его процесс) и запрашивающее IP домена через tor-resolve нужное число раз. Можно как ограничиться простым выводом IP, так и прикрутить свистелки, автоматически сравнивающие результаты между собой и ответом от провайдерского DNS-сервера. В любом случае работа на несколько минут.

Против OpenDNSCrypt сказать ничего не могу, за исключением того, что нужно доверять их сервису.

Под заявленную Вами модель угрозы подходит.
— Гость (06/09/2012 16:44)   <#>
перестраивающий цепочки Tor'а (или просто перезапускающее его процесс)
Ни рестарт, ни тем более новая личина, не гарантируют нового эксита. Тут уж как попрёт, ага.
— Гость (06/09/2012 16:59)   <#>
Кстати, я тут подумал, также можно проверять сертификаты сайта. Пытаются ли вас обмануть на стороне провайдера, подменяя сертификат (подписанный другим центром сертификации). Хотя от таких атак и защищает спецплагин, он не бьет тревогу, если предыдущий сертификат истекает.
— SATtva (06/09/2012 17:02)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ни рестарт, ни тем более новая личина, не гарантируют нового эксита. Тут уж как попрёт, ага.

Именно. Поэтому, в идеале, придётся через управляющий порт проверять их идентичность.
— Гость (06/09/2012 17:47)   <#>
Пытался сделать несколько раз:



Результат каждый раз разный.

И даже здесь этих адресов нет:



Видимо, это связано с резервированием. При проверке крупных сайтов будут ошибки. С pgpru все нормально.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3