Архив спецвыпуска журнала Хакер на www.realsoft.by.ru, номер #024, стр. 024-054-2, ЯДОВИТЫЙ DNS: ПИВО ИЗ ДАУН!

ЯДОВИТЫЙ DNS: ПИВО ИЗ ДАУН!

GREEN (green@rootshell.ru)

Спецвыпуск Xakep, номер #024, стр. 024-054-2

DNS POISONING

Вторая возможность - подделать ответ от одного из серверов в цепочке. Сначала нужно узнать, с какого адреса посылаются ответы про домен, информацию о котором нужно подделать, затем выяснить адрес DNS-сервера, используемого жертвой. Обычно это делается так: нужно зарегистрировать какой-нибудь домен и послать с адреса в этом домене мыло внутрь сетки чела, для которого мы подделываем DNS-инфу. Mail server начнет резолвить домен, и мы увидим их запрос в логе нашего DNS-сервера или в выводе банального tcpdump'а. Дальше все просто - начинаем бомбардировать их DNS-сервер ответами якобы от DNS-сервера, ответственного за подделываемую зону (само собой, с подделанным исходящим IP-адресом). Когда атакуемый сервак посылает запрос запоизоненному DNS-серванту, ему тут же приходит наш ответ.

С ТОЧКИ ЗРЕНИЯ ПИВА

DNS poisoning - явление частое, поэтому ситуация в этой области может быть представлена как постоянная борьба админов с хакерами. Вот как это описывает Daniel F. Boyd с точки зрения воровства пива:

"Однажды к вам приходит чувак и говорит, что он пришел проверить электросчетчик. Когда он уходит, выясняется, что пиво из холодильника пропало...

В следующий раз, когда приходят проверять счетчик, вы просите показать удостоверение, - чувак показывает фальшивое удостоверение, и пива снова нет.

В очередной раз ты набираешь телефонный номер, написанный на удостоверении, и подруга этого чувака (чей номер, конечно же, был записан в удостоверении) говорит: "Да, конечно, у нас работает такой сотрудник". Пиво, само собой, пропадает.

Еще одна попытка - ты набираешь номер, написанный на счете за электричество, но оказывается, что в прошлый раз воры кинули поддельный счет за электричество в твой почтовый ящик. И снова нужно идти в магазин за пивом...

Через месяц, когда приходят проверять счетчик, ты берешь телефонную книгу и узнаешь оттуда номер конторы, но выясняется, что в один из прошлых визитов мошенники подменили телефонную книгу у тебя дома! И снова нет пива!

Когда ты, наконец, узнал настоящий номер конторы, которая продает тебе свет, знакомый пришедшего чувака уже стоит наготове у телефонного распределительного ящика. И когда ты набираешь номер, он говорит тебе, что все O'Key и теперь-то к тебе точно пришел настоящий сотрудник. Очень хочется пива!!!

Через некоторое время, когда ты знаешь всех сотрудников той конторы в лицо, знаешь, куда звонить, купил мобилу для таких звонков, и обмануть тебя, казалось бы, просто невозможно!.. Они просто подкупают настоящего электрика, и ты опять остаешься без пива!"

ДЛЯ ТЕХ, КТО НЕ ПЬЕТ ПИВО

Как, ты так и не понял, в чем фишка DNS poisoning'а?!! Тогда тебя не спасет даже замок на холодильнике! Можно сделать кучу веселых вещей:

1. Просекаем пароли:

Наивный админ заходит на свой хост (через telnet или ftp) по имени supersex.ru, само собой, он получает кривой ответ (админа мы вычислили ранее, и DNS сервачок, который он юзает, наполнили тем, что нам нужно) и попадает на наш хост (который, тем не менее, представляется как нужный ему хост). После ввода логина и пароля коннекшен, например, рвется или подвисает (симулируем всякие сетевые проблемы) - это самый простой вариант, либо делается проброс на настоящий сервак, и чувак вообще ничего не замечает, кроме того, что он пришел не с того адреса, на котором сидит ;) (это тоже можно поправить через DNS). А у нас в логах пишутся его пароли ;).

Назад на стр. 024-054-1 Содержание Вперед на стр. 024-054-3