C'est bien réel, la faille DNS est rendu publique (enfin). Le buzz a extrêmement bien fonctionné. La réalité c'est qu'il est possible de modifier les NS d'un domaine à distance mais il existe un certain nombre de paramètres pour que l'exploitation soit effective :

  • Il faut un provider (FAI) qui vous autorise à spoofer en UDP
  • Il faut envoyé environs 50000 possibilités cela représente ~5mo d'upload (une connexion ADSL suffit)
  • Il ne faut pas avoir DNSSEC :)

La faille consiste à prédire un port source UDP afin de poisonner le DNS visé.

Le patch fourni par ISC pour Bind9 ne corrige pas la faille au sens du design du protocole, elle augmente simplement le nombre de possibilité afin de rendre la prédiction du port moins probable. D'après certaines personnes l'attaque est toujours d'actualité mais nécessite ~100Go d'upload pour poisonner le DNS. L'attaque est maintenant réservé aux botnets capable d'envoyer ces données en quelque seconde... elle est donc distribuable. Plus de place pour la petite connexion ADSL avec laquelle on pouvait poisonné n'importe quel DNS.

En gros c'est pas fini...et ce n'est pas non plus ce type de faille qui aura la peau d'internet car il faut savoir que le DNS a était ajouté bien tard et qu'à l'époque seul les fichiers hosts (/etc/hosts) étaient utilisé et c'est très simple de les réutiliser.

Place au botnets maintenant.

Merci à lkm et yzarc

Références :