PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : webspoofing und bind



Seiten : [1] 2

joey.brunner
28.08.02, 18:12
Sagt mal ist die lücke immer ncoh im bind existent, die die übernahme von Domains ermöglicht? Hab gehört die sei immer noch nicht gefixt worden. Also das so genannte Webspoofing? Wisst ihr das was genaueres?

Danke

tomes
28.08.02, 19:35
ist soweit ich das weiss, ein wenig was anderes.
Du hacks dir ein Webserver und schreibst dann eine automatische Weiterleitung auf die Seiten, so das Besucher zu dir umgeleitet werden. Dann kannst du ueber die bestehende Verbindung einiges anstellen :-) Das leichteste ist die Passwoerter abzufangen.

Zu Bind:
Der hat immer noch einige Schwachstellen und bestimmt auch noch einige die noch nicht erkannt wurden. Ist ja ne Menge Code und es wird nicht weniger.
Bind 9x ist sicherer als Bind 4x und Bind 8x .
Am besten kein Bind vor 8.2.3 benutzen.
Fuer alle Namesserver gibt es Patches, am besten man holt sie sich von der Quelle. Da gibt es auch die "CERT Advisory" zu Bind.

http://www.isc.org/products/BIND/

T;o)Mes

joey.brunner
28.08.02, 21:47
Hi,

nein ich meinte eigentlich keine richtige Sicherheitlücke. Ich wollte nur wissen, ob die Nameserver immer noch ohne verschlüsselung miteinander kommunizieren. Denn früher war es möglich (in einer laborumgebung) die query id zur authentifzierung zu erraten, jetzt konnte man dem nameserver, der die anfrage an einem anderen nameserver gestellt hat, mit der antwort noch eine falschinfo mitgeben. aber soweit ich das bis jetzt herausgefunden habe ist dies immer noch möglich. Klar, man kann dann keine seite ganz übernehmen, aber zum beispiel für einen lokal eingeschränkten raum könnte dies gehen.

Alles was man braucht ist eine domain und einen nameserver


Joey

bernie
28.08.02, 21:51
Hi,

Zu/gegen diverse BIND-Bugs empfehle ich dieses:

http://cr.yp.to/djbdns/blurb/unbind.html
und
http://cr.yp.to/djbdns/forgery.html

Ciao, Bernie

joey.brunner
28.08.02, 22:01
Danke!

Meint ihr es wäre möglich in einer laborumgebung eine domainübernahme zu simulieren, gab es das schon mal, habt ihr da infos, ich hab gegooglet aber leider nichts gefunden. am besten natürlich mit bind 9.

Danke

Joey

tomes
28.08.02, 22:12
diese lustige DNS-Spoofing ;-)
Ist aber in der Version 9.2.1 behoben worden.
Siehe mal nach "Transaction SIGnatures"

Fuer die anderen Versionen gibt es glaub ich Patches, was aber nicht heissen soll, dass das ganze nicht mehr im Web *funct* ;-)

Wenn du das erfolgreich durchfuehrst, machst du natuerlich dann ein sogenanntest "Web-Spoofing", da die User dann ja zu deinem Server geleitet werden.

T;o)Mes

tomes
28.08.02, 22:13
diese lustige DNS-Spoofing ;-)
Ist aber in der Version 9.2.1 behoben worden.
Siehe mal nach "Transaction SIGnatures"

Fuer die anderen Versionen gibt es glaub ich Patches, was aber nicht heissen soll, dass das ganze nicht mehr im Web *funct* ;-)

Wenn du das erfolgreich durchfuehrst, machst du natuerlich dann ein sogenanntest "Web-Spoofing", da die User dann ja zu deinem Server geleitet werden.

T;o)Mes

P.S.: BIND, the Buggy Internet Name Daemon ist wirklich gut :D :D :D

joey.brunner
28.08.02, 22:21
Hi

shit, das heißt also, das ich es vergessen kann oder? Keine Domainübernahme mehr möglich?

Joey

tomes
28.08.02, 22:23
*buggy* Server findest schon. Es gibt bestimmt noch einige 8ter die nicht gepacht sind.

T;o)Mes


<-- jetzt trinke ich erstmal einen Schnaps ;) :p ;)

joey.brunner
28.08.02, 22:24
Naja, mein Gedanke zielte ja auf eine Laborumgebung und da be*******e ich mich ja selber, wenn ich ne buggy version benutzte. Schade, hatte mich schon drauf gefreut ;(

Aber soviel ich weiß schwirren noch viele 8ter da draußen herum, oder?

Joey

bernie
28.08.02, 22:25
Original geschrieben von joey.brunner
shit, das heißt also, das ich es vergessen kann oder? Keine Domainübernahme mehr möglich?

Ohja, sicher geht das,.. DENIC, NSI, OpenSRS :D :D

Wozu brauchst du das?

Ciao, Bernie

joey.brunner
28.08.02, 22:29
Hi,

ich muss vor ungefähr 10 leuten einen vortrag und eine vorführung über ein it securitythema fürhen (23. oktober) und ich dachte mir, dass dns spoofing dafür geeignet sei. ich hätte dann ein kleines internet aufgebaut und ne domain übernommen.

aber mal im ernst, gibt es noch viele (über 50%) buggy DNS da draußen?

Joey

tomes
28.08.02, 22:29
kannst du dir doch beide Versionen installieren.
Habe letzten gehoert, dass so 30% noch *buggy* sein sollen. Aber mit dem neuem Loch werden wieder viele neu installiert. Schaetzte ich. Geht doch immer ganz schnell ;-)

T;o)Mes

tomes
28.08.02, 22:32
Ist alles dabei IP-Spoofing DNS-Spooffing und WEB-Spoofing
Besser und anschaulicher geht es doch kaum.

T;o)Mes

joey.brunner
28.08.02, 22:34
Hi,

ja das stimmt schon, aber es kommt halt blöd wenn ich dieses thema nehme und die lücke de facto nicht mehr existiert ;)

dieses bug hat den vorteil, dass das auch die nciht techniker verstehen (hoffe ich). aber wie gesagt, sollte halt auch etwas aktuell sein

Joey

Harry
29.08.02, 09:14
Hallo Joey,

soweit mir bekannt ist, ist DNS-Spoofing ja nicht unbedingt ein Sicherheitsloch einer bestimmten bind-Version sondern läßt sich vielmehr auf das relativ unsichere Transaktionskonzept zurückführen.
Dieses "Loch" läßt sich eigentlich nur über gesicherte und authentifizierte Transaktionen (Signature Records) nahezu komplett schließen, doch haben wir dabei das Problem, dass im Internet weltweit alle DNS-Server auf dieses Modell umgestellt werden müssten, um die Integrität der Daten zu gewährleisten.

Gibt es im Internet (rein theoretisch) auch nur zwei DNS-Server, die signaturlose und nicht authentifizierte Transaktionen durchführen, dann würden genau diese beiden wieder einen Angriffspunkt für das DNS-Spoofing darstellen; je höher diese Server dann in der Hierarchie angesiedelt sind, desto mehr Hosts würden dadurch beeinflussbar.

Aus meiner Sicht klaffen hier die theoretischen Möglichkeiten der Transaktionssicherung und die praktischen Gegebenheiten weit auseinander und daraus könnte man folgern, dass DNS nach wie vor potentiell unsicher und spoofbar ist.

Harry

bernie
29.08.02, 09:52
Hi,

Das stimmt doch so nicht ganz. Dieses Protokoll ist doch von den BIND-Leuten entwickelt worden oder? Das hat mit DNS ansich doch nichts zu tun. In dem Fall wäre es besser zu sagen, BIND ist unsicher nicht DNS.

Ciao, Bernie

Harry
29.08.02, 10:55
Hallo Bernie,

ich denke, ich habe mich etwas unverständlich ausgedrückt.

Das was ich vorher als "unsicheres Transaktionskonzept" bezeichnet habe, bezieht sich in erster Linie auf den Austausch von RR zwischen einem Resolver und einem DNS-Server. Diese Transaktionen werden in der Regel auf Transportebene über zwei Datenpäckchen abgewickelt: Der Resolver sendet eine DNS-Anfrage über UDP (ein Datagramm) an den Server und dieser antwortet im Idealfall mit einer DNS-Antwort über UDP (wieder nur ein Datagramm) dem Resolver. Wenn keine weiteren Vorkehrungen zur sicheren Transaktion vorgesehen sind (Authentifizierung und Signierung), dann ist diese Kommunikation recht unsicher und kann ohne allzugroßen Aufwand gestört/gespooft werden.

Zu den Zusammenhängen zwischen bind und DNS:
bind ist ein Produkt, welches DNS als Protokoll implementiert. Daneben existieren eine ganze Reihe weiterer Produkte, die das DNS-Protokoll implementieren und somit als DNS-Server eingesetzt werden können. Ich weiß leider nicht genau, ob die Berkeley University of California (die ursprünglichen Entwickler von bind) auch das DNS-Protokoll in seiner Ursprungsform (RFC 1035 u.a.) entwickelt hat, aber es spricht einiges dafür.

Ok - ich kann mich auch irren in meiner Annahme, denn gerade das DNS-Protokoll wurde im Laufe der Zeit vielfältigen Erweiterungen unterzogen und diese lassen die Übersichtlichkeit etwas ins Hintertreffen geraten.
In dem Falle bin ich jederzeit dankbar für eine Aufklärung :)

Harry

tomes
29.08.02, 10:58
entwickelt. Die neuesten Bind Versionen sind ja inzwischen sicherer. Aber wie schon Harry schrieb, es liegt doch einzig und allein an den zustaendigen Admins ob das Netz *funct*. Und ob Microsoft DNS da sicherer ist, glaub ich kaum.
Das "Problem" ist doch das in der Hinsicht keine oder zu wenige Standard gibt.
Gerade Redmond laesst sich nicht in die Karten gucken. Und die meisten Microsoft DNS-Server stehen in irgend einem LAN, hinter einer Firewall, so dass die meisten meinen zu muessen, damit sind sie sicher. *lol*
Also ist das Protokoll DNS *buggy*, Bind ist nur der am meisten genutzte Server fuer DNS.
Uebrigens gab es die Luecke sogar noch auf dem ROOT- Router der ICANN im vorigen Jahr.

T;o)Mes

tomes
29.08.02, 11:37
Hab mal gerade ein wenig recherchiert. ;-) Hat mir kein Ruhe gelassen.
DNS wurde an der Universitaet von Wisconsin entwickelt.
An der Stanford Universitaet entstand dann die IANA.

T;o)Mes

Harry
29.08.02, 12:05
Hallo Tomes,

danke für die Recherche :)

Also ...
IANA < Stanford University > IP-Adresswächter + well-known-ports (und mehr)
DNS < University of Wisconsin > urpsrüngliche Protokollspezifikation für DNS
BIND < Berkeley University of California > urpsrüngliche Entwicklung des Produktes BIND

Nun haben wir auch noch etwas Ursprungsforschung betrieben :D

Harry

bernie
29.08.02, 12:37
Hi,

Hmm, jetzt steh ich ein bisschen an:

Meinst du jetzt einfach die Kommunikation Client <-> Resolver? Die ist ja primitiv, und leicht zu fälschen. Wenn ich die Pakete signiere hab ich aber den extremen Overhead.

Ich dachte, dass dieses TSIG ein eigenes Protokoll ist, welches der BIND halt kann um mit anderen BINDs Daten auszutauschen.

Bitte um Aufklärung

Ciao, Bernie (der glaubte eine Ahnung von DNS zu haben)

Harry
29.08.02, 14:11
Hallo Bernie,


Original geschrieben von bernie_x
Meinst du jetzt einfach die Kommunikation Client <-> Resolver? Die ist ja primitiv, und leicht zu fälschen. Wenn ich die Pakete signiere hab ich aber den extremen Overhead.

ich meinte die Kommunikation zwischen Resolver <-> Server ohne die securityrelevanten Erweiterungen für DNS.
Und ja - Du hast recht: Genau diese Kommunikation ist relativ leicht zu spoofen aber genau diese Kommunikation wird in der Praxis eben noch sehr häufig eingesetzt.

Ich dachte, dass dieses TSIG ein eigenes Protokoll ist, welches der BIND halt kann um mit anderen BINDs Daten auszutauschen.


Hmm ja ... fast. TSIG ist eine Erweiterung zum DNS-Protokoll und wird im RFC2845 definiert (dieser RFC erweitert direkt auch den RFC1035, der wiederum DNS in seiner ursprünglichen Form definiert).

Würde TSIG global eingesetzt, dann könnte ein Resolver direkt feststellen, ob eine gerade empfangene Antwort denn nun auch wirklich von dem DNS-Server versendet wurde, an den der Resolver im Vorfeld die referenzierende Anfrage gestellt hat. Mit anderen Worten: Eine gespoofte Antwort von einem gänzlich anderen Server könnte der Resolver zweifelsfrei als gespooft identifizieren und verwerfen.

Das ist jedoch zur Zeit eine schöne Theorie, denn die Praxis schaut doch in vielen Fällen anders aus, da die wenigsten DNS-Server mit TSIG konfiguriert sind und wir damit wieder bei unserem Ausgangsproblem wären: Nämlich der unsicheren Kommunikation zwischen Resolver <-> DNS-Server.


Ciao, Bernie (der glaubte eine Ahnung von DNS zu haben)
Naja sagen wir mal so: Würdest Du keine Ahnung von DNS haben, dann hättest Du ja auch nichts über TSIG gewußt :D

Harry

bernie
29.08.02, 14:27
Hi,

na jedenfalls vielen Dank für die Erklärung :)
Hab Server und Resolver verwechselt, peinlich peinlich

Ciao, Bernie

joey.brunner
31.08.02, 01:18
Hi,

danke für die vielen Antworten. Das war mir klar, dass nicht alle DNS Server auf einmal umgestellt werden (können). Aber ich dachte mir vielleicht kommt jetzt so eine art hello ob man verschlüsselt oder nicht....

aber das heißt jetzt eigentlich, dass man in einer laborumgebung ruhig ein soclhes szanrio angehen könnte.

Gibt es dazu schon sourcen oder tools oder howtos ich hab leider überhaupt nichts brauchbares bei google gefunden. man findet zwar x-seiten über DNS Spoofing an sich. aber leider keine beschreibung dafür - praktisch und nicht theoretisch. Ich würde das echt gerne realisieren, da ich aber von DNS (Protokoll) an sich relativ wengi ahnung habe, würde ich mich über einen anstoss nicht beschweren ;)

Joey

bernie
31.08.02, 01:51
Hi,

wenn du nur über irgendein Thema sprechen willst kannst du ja Telnet/SSH nehmen. Dann baust du eine Telnet-Session auf und holst dir mit einem Packet-Sniffer das Passwort raus. Und dann erzählst du allen wie SSH funktioniert und dass man das genau aus dem Grund verwendet. Ist vielleicht einfacher,.. denk ich mir mal.

Ciao, Bernie

joey.brunner
31.08.02, 10:43
Hi,

ja diese dinge haben wir auch dabei. hier ein kleiner auszug

telnet, ftp etc. passwörter abfangen.
apache exploiten
DNS Spoofing ???
ARP Spoofing
NFS - i.V. IP Spoofing

Aber DNS Spoofing möchte ich shcon gerne dabeihaben

Joey

tomes
31.08.02, 13:06
Mit dem DNS Protokoll auseinander setzten.
Dann schau dir Security Bulltins an.
Erste Anlaufstellen sind dazu mitre, cert und natuerlich das US- Energieministerium ( http://www.ciac.org/ciac/ )
Im Grunde ist es ziehmlich einfach. Mach mal ein tcpdump port 53 -vvv und danach ein nslookup.
- Einfach eine Anfrage stellen nach deiner neuen Domain.
- Der DNS -Server muss seinen naechsten fragen, da er die Domain noch nicht kennt.
- Dann musst du nur schneller als der offizielle DNS sein. Notfalls eine kleine
SYN-Flooding- Attacke zu verlangsamen der Antwort.
- Paket generieren mit fascher Absender- IP, ID, die offizielle Adresse (www.microsoft.de) mit der IP deines Web- Servers und abschicken.
Der Trick ist ja der, dass der Server die Antwort im Cache behaelt und somit die Antwort von seinem offiziellen DNS- Server verwirft.

Wenn er eine "zufaellige" ID verwende, muss man "einfach" einen DoS Angriff gegen den Server starten. Da die ID nur 16 Bit hat, hat man in einem Ethernet schnell Erfolg. Man braucht ja nur 65536 Antworten um alle ID's zubekommen.

T;o)Mes

joey.brunner
31.08.02, 13:14
Hi,

hmm naja ok, dann werde ich das jetzt einfach mal versuchen. Da sich bestimmt noch fragen ergeben werde, werde ich mich bestimmt noch bei euch melden. ich frag mal an, wieviele manntage ich genehmigt bekomme. bei ergebnissen poste ich sie euch mal

2 rechner sollten dafür reichen oder

1 ns.meinedomain.de
1 ns.mein-fake-provider.de

Joey

tomes
31.08.02, 13:32
Laborumgebung solltest du eigendlich haben:
2 DNS Server
1 Client
1 Webserver
1 Rechner fuer den Angriff (DNS- Server und Web- Server)
Ansonsten muss du ja auf offizielle Server Zugreifen, was vielleicht nicht so gut waere. An die Hardware muss ja keine grossen Anspruech gestellt weden.

T;o)Mes