Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Podobné dokumenty
DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Útok na DNS pomocí IP fragmentů

Popis nastavení DNS serveru Subjektu

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

DNSSEC Pavel Tuček

DNS. Počítačové sítě. 11. cvičení

DNS, DHCP DNS, Richard Biječek

Ondřej Caletka. 23. května 2014

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

2/5 ZVEŘEJNĚNÍ ZÁVAŽNÉ BEZPEČNOSTNÍ SLABINY V DNS

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Domain Name System (DNS)

Ondřej Caletka. 2. března 2014

Jmenné služby a adresace

Y36SPS Jmenné služby DHCP a DNS

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

ROZHOVORY SE ZÁSTUPCI CZ.NIC V MÉDIÍCH

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

DNSSEC na vlastní doméně snadno a rychle

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

Automatická správa keysetu. Jaromír Talíř

Novinky v.cz registru a mojeid. Zdeněk Brůna

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Správa linuxového serveru: DNS a DHCP server dnsmasq

Falšování DNS s RPZ i bez

Protokoly omezující moc certifikačních autorit

Domain Report. Pokud není uvedeno jinak, statistiky prezentují stav k

Služby správce.eu přes IPv6

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Domain Name System (DNS)

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.


Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Typy bezpečnostních incidentů

Aktivní prvky: brány a směrovače. směrovače

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Obrana sítě - základní principy

DNSSEC: implementace a přechod na algoritmus ECDSA

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

DNSSEC během 6 minut

Technická analýza kyberútoků z března 2013

Domain Name System. Hierarchie

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Analýza protokolů rodiny TCP/IP, NAT

DoS útoky v síti CESNET2

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Směrování VoIP provozu v datových sítích

Strategie sdružení CESNET v oblasti bezpečnosti

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

}w!"#$%&'()+,-./012345<ya

Poslední aktualizace: 1. srpna 2011

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Principy a správa DNS - cvičení

Počítačové sítě ZS 2008/2009 Projekt návrhu sítě zadání

Knot DNS Resolver. Modulární rekurzivní resolver. Karel Slaný

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

IPv6 na serveru Co by měl administrátor znát... Stanislav Petr

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

Další nástroje pro testování

Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Doménový svět, jak to funguje? CZ.NIC z. s. p. o. Ondřej Filip Seminář MPO

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Střední odborná škola a Střední odborné učiliště, Hořovice

DNS, jak ho (možná) neznáte

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

1 Domain Report 2009

(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

BEZPEČNOST. Andrea Kropáčová CESNET Praha

DNS Domain Name System

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

/ 1 / DR 2010 DOMAIN REPORT

Překlad jmen, instalace AD. Šimon Suchomel

WrapSix aneb nebojme se NAT64. Michal Zima.

pozice výpočet hodnota součet je 255

Monitoring provozu poskytovatelů internetu

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Transkript:

Útoky na DNS CZ.NIC Labs Emanuel Petr <emanuel.petr@nic.cz> 7. 6. 2010 IT10, Praha 1

http://www.checkpoint.com/defense/advisories/public/dnsvideo/index.html 2

Podvržená odpověď... Doručena dříve než odpověď autoritativního NS Obsahovat Question Section z původního dotazu rns Identifikátor odpovědi (ID) roven ID dotazu rns Zdrojová adresa reflektuje adresu autoritativního NS Cílový port/adresa se shoduje se zdrojovým portem/adresou dotazu rekurzivního NS Pokud splněno dojde k podvržení údajů nebo-li k otrávení paměti rekurzivního NS 3

Dotaz rekurz. NS na autoritativní NS 4

Správně vytvořená falešná odpověď 5

Zranitelnosti rekurzivních NS - historie (zjednodušeno) Sekvenční ID dotazu - snadno zjistitelné Nedostatečně náhodné ID dotazu - ID se dalo předpovědět Více souběžných dotazů rns na shodný záznam - 'birthday attack', funkční i při náhodných ID Výše uvedené zranitelnosti byly opraveny a útoky hrubou silou (odhadnutí ID) nebyly použitelné z důvodu životnosti záznamů v cache rns. 6

Časové okno útoku a životnost záznamu 7

Zranitelnost rns současnost 'Kaminskyho' varianta útoku - nemusí se čekat na vypršení životnosti záznamu Jak je to možné? Dotazy se posílají na náhodné poddomény např. 'example.net' 'XYZ.example.net' XYZ je pro každý dotaz unikátní, nebude v cache rns Falešné údaje v 'Authority records' & 'Additional records' 'Authority records' FQDN autoritativního NS 'Additional records' IP adresa falešného NS 8

9

Zranitelnost rns současnost (II) Rekurzivní NS: statické zdrojové porty napadeny do několika sekund/minut útok - nízké nároky na HW a Bandwidth Hromadný upgrade na nové verze rekurzivních NS s náhodným zdrojovým portem u dotazů Port = 1024 65535 10

Jaké jsou nyní šance k napadení? Falšování odpovědi autoritativního NS - zdrojová adresa (lze zjistit *) - zdrojový port (fixní, 53) - cílová adresa (známé) - cílový port (náhodný 1024 65535) - ID zprávy (náhodný 0 65535) - 'Question Section' (známé) * dvě adres a více 11

Čas potřebný k útoku (H) při alespoň jedné správné odpovědi útočníka N H = 1000/W H čas útoku v sekundách N počet časových oken W délka časového okna v ms + režie na další časové okno v ms 12

Počet časových oken (N) k alespoň jedné správné falešné odpovědi při stanovené pravděpodobnosti (Q) N = log 1 Q log 1 P Q stanovená pravděpodobnost úspěšného útoku P pravděpodobnost uhodnutí ID, Portu a IP adresy autoritativní NS 13

Pravděpodobnost (P) uhodnutí ID, Portu a IP adresy autoritativního NS P= F D U S F počet falešných odpovědí přijatých v časovém okně D počet možných ID U počet možných Portů S počet možných adres autoritativních NS 14

Kompletní vzorec pro výpočet času útoku v sekundách H = log 1 Q F log 1 D U S 1000/W Pravděpodobnost Q je stanovena Hodnoty D a U jsou známé S lze zjistit F a W je měřitelné Vzorec je platný za podmínek: - ID a zdrojový port dotazů rns jsou náhodné - ID a zdrojové porty falešných dotazů generovány systematicky náhodně 15

Testy DNS cache poisoning útoku (I) Tři lokality propojeny v NIX.CZ Útočník, rekurzivní NS a autoritativní v samostatné lokalitě Podvrhovaná doména dva autoritativní NS Autoritativní NS s jednou adresou (bez IPv6) Dotazy rekurzivního NS rovnoměrně rozloženy mezi oba autoritativní NS Falešné odpovědi posílány pouze pro jeden autoritativní NS BIND9 verze 9.4.2 a novější 16

Testy DNS cache poisoning útoku (II) Průměrná velikost falešné DNS zprávy 125 B ID a zdrojový port náhodné ID = 0 65535 Port = 1024 65535 Evgeniy Polyakov implementace útoku http://www.ioremap.net/archive/dns/ 17

Testovací scénář I. A t t a c k e r RTT: 0.489 ms 100 Mbps 100+ Hops: 5 Recursive NS BIND 9.4.2-P2 RTT: 0.843 ms 100+ Mbps Hops: 9 DNS lookup: < 1ms Authoritative NS BIND 9.2.3-9.4.0 round-trip časy a DNS překlad pod 1 ms krátké časové okno k útoku (1.041 ms) 18

Testovací scénář I. Testovací scénář 1 Průměr Směrodatná odchylka Časové okno útoku 1.041 ms 0.096 Počet falešných odpovědí 57 6 na jedno časové okno Provoz přijatých falešných 55.05 Mbps 3.86 odpovědí Režie na časové okno 10.451 ms 1.599 Režie na jednu vteřinu útoku 909.41 ms Pravděpodobnost úspěšného útoku 99 % 2 169 hodin (~ 90 dnů) 95 % 1 411 hodin (~ 59 dnů) 90 % 1 084 hodin (~ 45 dnů) 19

Testovací scénář II. A t t a c k e r RTT: 0.521 ms 100 Mbps 100+ Hops: 5 Recursive NS BIND 9.4.2-P2 RTT: 169 ms 100+ Mbps Hops: 14 DNS lookup: 173ms Authoritative NS BIND 9.2.3-9.4.0 Autoritativní NS má horší dostupnost a pomalé odezvy Časové okno útoku 163 ms 20

Testovací scénář II. Testovací scénář 2 Průměr Směrodatná odchylka Časové okno útoku 163.678 ms 13.965 Počet falešných odpovědí 8 560 761 na jedno časové okno Provoz přijatých falešných 52.30 Mbps 2.00 odpovědí Režie na časové okno 3.650 ms 0.592 Režie na jednu vteřinu útoku 21.81 ms Pravděpodobnost úspěšného útoku 99 % 211 hodin (~ 9 dnů) 95 % 138 hodin (~ 6 dnů) 90 % 106 hodin (~ 4 dny) 21

Útok na rns - statický zdrojový port Útok na doménu 'example.net' Rekurzivní NS upřednostňuje b.iana-servers.net 22

Útok na rns - statický zdrojový port Provoz falešných odpovědí (Mbps) Časové okno (ms) Falešné odpovědi doručené na jedno časové okno Délka útoku (vteřiny) test1 test2 test3 test4 34.16 23-27 746-865 2 1 3 6 10.72 19-32 202-335 3 18 9 8 1.68 25-26 41-42 34 32 7 5 0.56 27-28 13-14 193 76 601 152 23

Útok na rns - náhodný zdrojový port Test Vygenerovaný provoz falešných odpovědí Časové okno ms Falešné odpovědi doručené na jedno časové okno Trvání útoku ( odpovídající pravděpobnost ) 1. 85.31 Mbps 45.491 3 820 25 h 40 min (59 %) 2. 64.08 Mbps 18.501 1 171 93 h 41 min (88 %) 3. 14.34 Mbps 102.241 1 466 64 h 3 min (32 %) 4. 14.80 Mbps 684.982 10 139 25 h 0 min (15 %) 5. 14.80 Mbps 597.701 8 845 95 h 52 min (45 %) 6. 14.15 Mbps 650.851 9 207 50 h 41 min (26 %) 7. 14.47 Mbps 504.132 7 293 248h 30 min (78%) 24

BIND9 rekurzivní NS a výběr autoritativního DNS serveru Udržuje si přehled o dostupnosti autoritativních NS Dostupnost reprezentuje prostřednictvím SRTT (Smoothed Round Trip Time) Sledovat změny SRTT lze příkazem: $ watch -n 0.5 'sudo rndc dumpdb -cache; sleep 0.5; \ grep -E "((192\.0\.34\.43) (193\.0\.0\.236)).*srtt" \ /var/cache/bind/named_dump.db' Ukázka výstupu ; 192.0.34.43 [srtt 39866] [flags 00000000] [ttl 1711] ; 193.0.0.236 [srtt 21929] [flags 00000000] [ttl 1711] 25

BIND9 rekurzivní NS a výběr autoritativního DNS serveru $ dig example.net @192.0.34.43 grep "Query time" ;; Query time: 158 msec $ dig example.net @193.0.0.236 grep "Query time" ;; Query time: 25 msec čtyři testy, tisíc žádostí na překlad domény example.net Preference autoritativního NS 193.0.0.236 98.1 % 98.1 % 98.1 % 98.1 % 192.0.34.43 1.9 % 1.9 % 1.9 % 1.9 % 26

Omezující faktory útoku (neúplné) Kontrola zdrojové adresy DNSSEC na rekurzivním a autoritativním NS Rekurzivní NS s filtrací dotazů Náhodné ID a zdrojové porty Více autoritativních NS pro doménu IPv6 adresa na autoritativním a rekurzivním NS Rychlá odezva / vysokokapacitní šířka pásma autoritativn.ns Útok není možný Útok není možný Omezuje útok z povolených sítí Snižuje účinnost útoku Snižuje účinnost útoku Snižuje účinnost útoku Snižuje účinnost útoku......... Směrovač mezi útočníkem a rekurzivním NS blokuje pakety s falešnou zdrojovou adresou DNS Security Extensions chrání proti DNS cache poisoning útokům NS akceptuje rekurzivní dotazy pouze ze seznamu povolených sítí Rekurzivní NS pro své dotazy používá náhodně generované ID a zdrojové porty Každý nový autoritativní NS snižuje odhadnutí zdrojové adresy Zavedení IPv6 adresy na autoritativním a rekurzivním NS redukuje odhadnutí zdrojové adresy odpovědi autoritativ. NS Rychlá odezva zkracuje časové okno útoku a dostatečná šířka pásma znesnadňuje DoS útoky na autoritativ.ns 27

Otevřené rekurzivní NS & statické zdrojové porty Rekurzivní NS z dotazů na autoritativní NS.cz TLD (jednodenní provoz) - celkem k analýze: 79 963 - otevřené rekurzivní NS: 10 219 (v4) + 1 762 (v6) - statický port: 2651 + Autoritativní NS českých domén (.cz zóna) - celkem k analýze: 18 854 - otevřené rekurzivní NS: 2 927 - statický port: 745 28

Závěr Útok na rekurzivní NS s náhodnými zdrojovými porty - mnohem složitější, ale stále možný - dny až týdny při provozu desítek Mbps - technicky realizovatelné - asi největší překážkou monitoring sítě a správci sítě - monitoring i lidský faktor však může selhat - integritu údajů a jistotu, že byly poskytnuty správným zdrojem zajistí pouze DNSSEC Implementujte ;) 29

Děkuji vám za pozornost Emanuel Petr emanuel.petr@nic.cz Kde získat informace o dalších aktivitách sdružení CZ.NIC? Web Blog Email Konference www.nic.cz blog.nic.cz kontakt@nic.cz nic-news@nic.cz 30

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář