Hace 15 años | Por apt-drink a blogs.buanzo.com.ar
Publicado hace 15 años por apt-drink a blogs.buanzo.com.ar

Vía Slashdot (http://it.slashdot.org/it/08/07/21/2212227.shtml) me entero de que alguien ha filtrado detalles del ataque contra DNS que Kaminsky va a presentar en la Blackhat '08. Posteriormente, el artículo ha sido retirado, pero Google ha venido al rescate... Relacionada (aunque estoy en desacuerdo): El hombre que salvó Internet
Hace 15 años | Por tomeu a elpais.com

Comentarios

sorrillo

Al final resulta que es una ataque por fuerza bruta pero con el ancho de banda y velocidad actual de los equipos indican que puede ser efectivo en pocos segundos.

Resumen:
El atacante "obliga" al atacado a consultar continuamente por nombres DNS que no existen del sitio que se quiere suplantar (aaaaa.google.com, aaaab.google.com, etc.).

Mientras el atacado va consultando esa lista interminable de servidores que no existen (azabaaz.google.com) el atacante por fuerza bruta le responde de forma continua. Solo con que una de las respuestas sea considerada válida (porque coincide con el ID de su petición) el atacante ya ha conseguido "colarle" la resolución del host completo (google.com, www.google.com, etc.).

Eso es debido al hecho que con una respuesta DNS (aaabab.google.com) se pueden incluir otras siempre que pertenezcan al mismo dominio (*.google.com).

Esto es aplicable para suplantar sitios importantes incluyendo publicidad (como google) o bien para hacer ataques de phishing.

Si esto lo aplicas a servidores DNS de ISP ... pues la tienes liada para muchos usuarios.

No es un ataque muy bonito, pero parece que puede ser efectivo y durante mucho tiempo lo veremos corriendo por la red.

a

#2 Thx por el aviso

a

El ataque está basado en un batiburrillo de debilidades del protocolo, una de las cuales data de 1995. Novedosísimo, sí. Internet se rompe!

Liamngls

¡Hay que acabar de una vez con el emule y sus seguidores! ¡Internet se rompe!

c

el mismisimo Kaminsky ya ha reconocido que el gato esta fuera de su jaula (http://www.doxpara.com/?p=1176).

amdRF

Etiqueta [ENG] please

albertucho

Más:
http://blogs.zdnet.com/security/?p=1520
http://darkoz.com/?p=15

Y todavía hay muchos servidores que siguen vulnerables:
http://www.kriptopolis.org/fallo-dns-todo-sigue-igual

Esto va a ser un circo para muchos.