Overzicht van kwetsbare DNS servers

[cloink]

Laat maar zien dan, waaruit blijkt dat ze een geslaagde poging hebben gedaan.
Tot hiertoe is er enkel theorie en vage vermoedens, al jaren lang.

Oh boy.

Theorie: http://www.jbip.net/content/text-mantas ... dns-attack
Praktijk: http://metasploit.com/dev/trac/browser/ ... b?rev=5579
Demo: http://www.infobyte.com.ar/demo/evilgrade.htm

Any questions?

[Ken]

Dit reverse DNS ding is al jaren gaande.

Sure, mensen zouden zich minder moeten verspreken in termen.

[Corleone]

Your name server, at 212.53.5.5, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...).
--------------------------------------------------------------------------------
Requests seen for d9755e55754b.doxdns5.com:
212.53.5.5:15765 TXID=26920
212.53.5.5:50035 TXID=63948
212.53.5.5:15315 TXID=55361
212.53.5.5:25110 TXID=33968
212.53.5.5:55868 TXID=59751

[Ninjai]

Laat maar zien dan, waaruit blijkt dat ze een geslaagde poging hebben gedaan.
Tot hiertoe is er enkel theorie en vage vermoedens, al jaren lang.

Oh boy.

Theorie: http://www.jbip.net/content/text-mantas ... dns-attack
Praktijk: http://metasploit.com/dev/trac/browser/ ... b?rev=5579
Demo: http://www.infobyte.com.ar/demo/evilgrade.htm

Any questions?

Dank je. Je hebt mij de moeite bespaard. De saga gaat verder.

De patch verhelpt het source port probleem waardoor ipv slechts 32.769 packets, je de juiste response kunt spoofen naar iets tussen 134.217.728 en 4.294.967.296 packets. Aanzienlijk moeilijk om te spoofen.

Er is dus een rus die nu met behulp van 2 desktops en 10Gig netwerk, binnen 10 uur een gepatched server wist te vergiftigen. Voor de patch kon je het via metasploit & een ADSL lijn via 10 seconden.

Hier de commentaar van Kaminsky op deze laatste wending.
http://www.doxpara.com/?p=1215

Hier staat een heel 'simpele' uitleg van de oorspronkelijke aanval/probleem. Dus tenzij je weet wat een TXIDs en Birthday attacks zijn, please RTFM
http://www.unixwiz.net/techtips/iguide- ... -vuln.html

[gert.jansen]

Antwoord van Easynet op mijn mail ivm de vulnerability:

We are well aware of the vulnerability.
However our resolvers are only reachable by our customers which reduce the risk of malicious cache poisoning.

easynet support

Nieuwe vraag naar Easynet:

Betekent dit dan dat de DNS servers helemaal niet gepatched gaan worden, of dat
> = dit voorlopig geen hoge prioriteit heeft?

Hun antwoord:

Hallo,
De dns servers gaan inderdaad niet gepatched worden en worden enkel gebruikt door onze klanten om het risico te beperken op cache poisoning.

Is dat voldoende, of zijn ze daar dan slecht bezig?

[trobbelke]

volgens mij zijn ze daar dan slecht bezig. Die schijnen de ernst van de bug niet in te zien. Als ge wilt (en ge weet hoe) kunt ge op 10 seconden entries in hun DNS server wijzigen.

[airzimmy]

volgens mij zijn ze daar dan slecht bezig. Die schijnen de ernst van de bug niet in te zien. Als ge wilt (en ge weet hoe) kunt ge op 10 seconden entries in hun DNS server wijzigen. :roll:

Waarom, als die dns servers enkel gekend zijn door hun klanten?
Denk eens na, wat zouden ze doen tegen de klant die hun omgeving (dus vele andere klanten) platlegt?
'k Zou het persoonlijk nogal serieus dom vinden om zo een stoot uit te halen.

[meon]

Dus jij gaat je niet wapenen tegen een "domme gebruiker" in je eigen netwerk? Misschien doen ze het niet eens bewust (spyware/botnets) of is een onbeveiligd draadloos netwerk weer maar eens de schuldige?

[Nob]

Waarom, als die dns servers enkel gekend zijn door hun klanten?
Denk eens na, wat zouden ze doen tegen de klant die hun omgeving (dus vele andere klanten) platlegt?
'k Zou het persoonlijk nogal serieus dom vinden om zo een stoot uit te halen.

Als het een klant is met een open wifi netwerk...

greetz,

Nob

[cloink]

Any questions?

Didn't think so!

[Gimli]

Is dat voldoende, of zijn ze daar dan slecht bezig?

Ik snap hun redenering wel maar ben er niet mee eens. De veiligheid van hun klanten laten afhangen van 1 scripkiddie op hun netwerk die wat experimenteert met metasploit. 1 PC die door een virus geinfecteerd is met exploitcode. 1 hacker die een PC weet te hacken vanaf afstand om deze aanval te lanceren.

Je kan alles herleiden, mail, websites, VOIP (skype), IM, ALLES werkt met DNS.

Fail !!! Epic fail !!!! Schakel over naar OpenDNS en slaap verder op 2 oren.

[gert.jansen]

Updated Overzicht.
easynet = not ok
fulladsl = not ok

Easynet is dus bewust niet OK.

FullADSL ondertussen wel denk ik:

Code: Selecteer alles

Your name server, at 83.143.245.7, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...).Requests seen for eaa140c446d8.doxdns5.com:
83.143.245.7:7028 TXID=31710
83.143.245.7:32995 TXID=35005
83.143.245.7:40918 TXID=37450
83.143.245.7:38330 TXID=53557
83.143.245.7:59146 TXID=58989 

EDIT: zelfde DNS server als DXadsl trouwens ...

[TimDW]

Hmmm, via Easynet krijg ik nu een "page cannot be displayed" error als ik die test doe...
Met EDPnet werkt het zonder probs (en die is zoals reeds vermeld 'secure').
Vreemde manier van Easynet om met die bug om te gaan.

[gert.jansen]

Hmmm, via Easynet krijg ik nu een "page cannot be displayed" error als ik die test doe...
Met EDPnet werkt het zonder probs (en die is zoals reeds vermeld 'secure').
Vreemde manier van Easynet om met die bug om te gaan.

Ik ook, allee 9 op de 10 toch. En die ene keer dat ik er wel op geraak, blijft hij 'vulnerable' geven.

Rare jongens, die Easynetters.

[Gimli]

Er zijn meerdere online sites om mee te testen

https://www.dns-oarc.net/oarc/services/dnsentropy
http://www.doxpara.com/