Analýza otrávené DNS cache

Podobné dokumenty
Ondřej Caletka. 2. března 2014

Jak se měří Internet

Falšování DNS s RPZ i bez

Jak se měří Internet

DNSSEC na vlastní doméně snadno a rychle

ové služby a IPv6

Stránka, doména, URL, adresa

Ochrana soukromí v DNS

Ondřej Caletka. 23. května 2014

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

ové služby na IPv6-only

Služby správce.eu přes IPv6

DoS útoky v síti CESNET2

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

BCOP aneb jak správně nasazovat

Domain Report. Pokud není uvedeno jinak, statistiky prezentují stav k

Bezpečnější pošta aneb DANE for SMTP

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Výpis z registru doménových jmen.cz

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Výpis z registru doménových jmen.cz

/ 1 / DR 2010 DOMAIN REPORT

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Automatická správa keysetu. Jaromír Talíř

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Dual-stack jako řešení přechodu?

DNSSEC na vlastní doméně snadno a rychle

Ondřej Caletka. 21. dubna 2015

Y36SPS Jmenné služby DHCP a DNS

Knot DNS Knot Resolver

WPAD a bezpečnost v DNS

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

Ondřej Caletka. 13. března 2014

DNS Domain Name System

DNS, jak ho (možná) neznáte

DNSSEC Pavel Tuček

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

DNSSEC: implementace a přechod na algoritmus ECDSA

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Domain Name System (DNS)

Seminář pro správce univerzitních sí4

Úvod do RIPE. Ondřej Caletka. 12. dubna 2016

pozice výpočet hodnota součet je 255

DNS, DHCP DNS, Richard Biječek

Ondřej Caletka. 27. března 2014

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Útok na DNS pomocí IP fragmentů

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Ondřej Caletka. 21. října 2015

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

DNS. Počítačové sítě. 11. cvičení

Připojení k bezdrátové síti eduroam na VFU Brno s počítačem se systémem Windows

LOGBOOK. Blahopřejeme, našli jste to! Nezapomeňte. Prosím vyvarujte se downtrade

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Právní aspekty doménových jmen. BI201K Úvod do práva ICT I (jaro 2010)

Úvod do informatiky 5)

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

Provozní manuál DNSSec pro registr.cz a e164.arpa

Co musíte vědět o šifrování

eduroam.cz - monitoring infrastruktury a detekce problémů

Střední odborná škola a Střední odborné učiliště, Hořovice

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Jmenné služby a adresace

Co musíte vědět o šifrování

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Petr Soukeník.

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Sociální sítě jako Velký bratr. Martin Klubal AEC a.s.

Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Internet. Počítačová síť, adresy, domény a připojení. Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie

Ondřej Caletka. 5. listopadu 2013

Bezpečnější pošta díky DANE

Zásobník protokolů TCP/IP

Správa a zabezpečení DNS

Další nástroje pro testování

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

Škola. Číslo projektu. Datum tvorby 12. září 2013

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Počítačové sítě 1 Přednáška č.10 Služby sítě

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Jak funguje SH Síť. Ondřej Caletka

FlowMon Vaše síť pod kontrolou

Transkript:

Analýza otrávené DNS cache Ondřej Caletka 7. února 2017 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 1 / 19

Expozice real-time blacklist uceprotect.net zřízen za účelem potírání spamů zaznamenává IP adresy serverů, které rozesílají spam případně přilehlých síťových bloků případně celých autonomních systémů dotazuje se převrácenou IPv4 adresou doplněnou příponou listu pro zalistované adresy vrací obvykle 127.0.0.x samostatně nepříliš účinné a bezpečné použitelné jako jeden ze zdrojů reputačních systémů Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 2 / 19

Problém 1. listopadu 2016 00:11 CET Nagios: všechny e-mailové servery se ocitly na blacklistu UCEprotect stránky uceprotect dostupné ruční kontrola neukazuje žádný problém podivná adresa vrácená z blacklistu: 176.107.178.7 Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 3 / 19

Otrávená DNS cache na hlavních DNS resolverech vše funguje bez problému nagios server používá svůj vlastní resolver stejný dotaz, různé odpovědi obdobný problém i v xdsl síti T-Mobile vyprázdnění cache problém vyřešilo $ host www.uceprotect.net www.uceprotect.net has address 217.23.49.178 $ host www.uceprotect.net www.uceprotect.net has address 176.107.178.7 Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 4 / 19

Otázky k řešení šlo o cílený útok? jedná se o lokální, nebo globální problém? jakým způsobem nejspíše otrávení proběhlo? je možné tomu do budoucna předejít? Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 5 / 19

RIPE Atlas systém aktivního měření Internetu budován od roku 2010 používá hardwarové sondy hostované u dobrovolníků více než 9000 připojených sond (250 v ČR) vestavěná a uživatelsky definovatelná měření všechna měření veřejná API přístup k výsledkům i zadáním zaměřeno na nejnižší úroveň funkce IP sítí ping traceroute DNS Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 6 / 19

Hledání sond s podobným problémem spuštěno měření na všech českých a slovenských sondách a dále na 500 sondách ze zbytku světa úkol: přeložit www.uceprotect.net na IP adresu 758 odpovědí, z toho 14 otrávených - Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 7 / 19

Problém nejspíše na autoritativní straně nelze vystopovat žádnou spojitost mezi jednotlivými sondami reálný připadá únos autoritativních serverů 1 únos všech současně (jsou-li v jedné síti) 2 únos master serveru a vynucení přenosu zóny na slave servery 3 změna delegace v nadřazené zóně Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 8 / 19

Nástroj RIPEstat kolekce statistik internetových prostředků IP adresy, čísla autonomních systémů, geolokace, data ze senzorů webová aplikace s widgety automatické vyhledávání abuse kontaktů API přístup k surovým datům v JSON Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 9 / 19

Geolokace autoritativních serverů - Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 10 / 19

Geolokace autoritativních serverů Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 11 / 19

Výsledky analýzy autoritativních serverů diverzitní rozmístění únos všech nepravděpodobný kolektory BGP nezaznamenaly žádné změny v ohlašování daných IP adres pro synchronizaci blacklistů se nejspíše nepoužívají zónové přenosy zbývá hypotéza se změnou delegace v nadřazené zóně Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 12 / 19

Whois uceprotect.net Domain Name: uceprotect.net Registry Domain ID: 97889633_DOMAIN_NET-VRSN Registrar WHOIS Server: whois.psi-usa.info Registrar URL: http://www.psi-usa.info Updated Date: 2016-10-31T16:58:08Z Registrant Name: Sebastian Müller Registrant Organization: Privacy Guard Registrant Street: Freiligrathstr. 2 Registrant City: Magdeburg Registrant State/Province: DE Registrant Email: _contact_@privacy-guard.de Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 13 / 19

From: Claus von Wolfhausen <c.v.wolfhausen@uceprotect.net> Hi, We are aware that someon seems to have poisened multiple COM, NET, EDU Domains at Internic Rootservers by Monday... Our DNS had the correct Informations and also the datas at our registrar are fine. Registrar told us, theyrecommend to retransmitt our DNS to the Rootservers so we did an Update at Monday... Since that the Problem should be fixed. If you still expirience problems please delete your DNS-Cache or request your provider to do so. Regards Claus Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 14 / 19

Hacknutý registrátor? nejpravděpodobnější vysvětlení webové stránky PSI-USA nevypadají jako stránky registrátora nejspíš jde o skořápkovou společnost registrátora, který je plně ovládán jinými subjekty v pozadí Fraud Reports Wikia PSI-USA Inc is an ICANN accredited registrar in Germany, also offering its services as InterNetX. Early in 2013 InterNetX suffered the highest abuse rate from the Russian fake pharmacy fraud, EvaPharmacy and has tried to tackle the problem. Zdroj: http://fraud-reports.wikia.com/wiki/psi-usa Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 15 / 19

Servery hostující unesenou doménu e-mail v konferenci Spamassasin ukazuje IP adresy NS při únosu tyto servery jsou stále funkční! hostují velké množství zón Passive DNS analýza na stejné adrese hostováno asi 1000 domén některé jsou dodnes delegovány některé vypadají velmi podivně: dropthishost-0c4705e8-ecbf-4c0d-a773-888b51c30b87.biz Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 16 / 19

Jak se bránit proti změně dat po cestě: DNSSEC proti injektování obsahu do zóny při přenosu: TSIG podepisování zónových přenosů sdíleným tajemstvím proti hacknutí registrátora: zamykání na úrovni registru u domény.cz snadno a rychle pomocí Doménového prohlížeče u jiných problematické, zařizuje se prostřednictvím registrátora (!) proti dlouhodobému otrávení cache resolveru volba max-cache-ttl v konfiguraci standardně 7 dní pro BIND, 1 den pro Unbound Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 17 / 19

Shrnutí útok byl nejspíše cílený na slabě zabezpečeného registrátora znefunkčnění DNS blacklistu nejspíše nebyl cíl, ale vedlejší efekt registrátor je hodně podezřelý a nedůvěryhodný zvlášť po incidentu vhodné přemigrovat jinam, pokud nejsou k registrátorovi jiné vazby únosy IP adres se zřejmě nestávají což je dobrá zpráva Root.cz: Za výpadek známého blacklistu mohla unesená doména Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 18 / 19

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Prezentace je již nyní k dispozici ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) Analýza otrávené DNS cache 7. února 2017 19 / 19

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář