Michael VERGOZ

L'un des plus grand FAI Français, Free, subit depuis la sortie officielle de la faille DNS des attaques répété qui fatigue leur architecture DNS. Leur serveurs sont à jour mais comme je l'ais dit dans ma précédente brève la correction proposé par les Vendors DNS ne corrige pas le problème. Du coup les botnets se mettent à attaquer dur... très dur...

Pour le moment il n'existe aucune solution. En fait si, il existe une solution : bannir définitivement l'UDP des normes DNS... Solution relativement complexe à mettre en place puisque tout le monde doit accorder leur arc ...

Il n'existe pas d'autre solution. Il faut que ceux qui définissent les normes et ceux implémentent ces normes (Vendor) face quelque chose et vite...

La solution DNSSEC ne résoudra pas le problème comme cela avait été annoncé.

Il faut bannir l'UDP du DNS et maintenant.

Exploit Metasploit qui crée un bordel général

Merci à vYSa

C'est bien réel, la faille DNS est rendu publique (enfin). Le buzz a extrêmement bien fonctionné. La réalité c'est qu'il est possible de modifier les NS d'un domaine à distance mais il existe un certain nombre de paramètres pour que l'exploitation soit effective :

• Il faut un provider (FAI) qui vous autorise à spoofer en UDP
• Il faut envoyé environs 50000 possibilités cela représente ~5mo d'upload (une connexion ADSL suffit)
• Il ne faut pas avoir DNSSEC :)

La faille consiste à prédire un port source UDP afin de poisonner le DNS visé.

Le patch fourni par ISC pour Bind9 ne corrige pas la faille au sens du design du protocole, elle augmente simplement le nombre de possibilité afin de rendre la prédiction du port moins probable. D'après certaines personnes l'attaque est toujours d'actualité mais nécessite ~100Go d'upload pour poisonner le DNS. L'attaque est maintenant réservé aux botnets capable d'envoyer ces données en quelque seconde... elle est donc distribuable. Plus de place pour la petite connexion ADSL avec laquelle on pouvait poisonné n'importe quel DNS.

En gros c'est pas fini...et ce n'est pas non plus ce type de faille qui aura la peau d'internet car il faut savoir que le DNS a était ajouté bien tard et qu'à l'époque seul les fichiers hosts (/etc/hosts) étaient utilisé et c'est très simple de les réutiliser.

Place au botnets maintenant.

Merci à lkm et yzarc

Références :

• http://it.slashdot.org/it/08/07/21/2212227.shtml
• http://www.lesnouvelles.net/articles/attaques/dan-kaminsky-dns-cache-poisoning
• http://www.lesnouvelles.net/articles/technologies/dnssec-bientot-dns-securises
• http://www.cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning-attacks-with-iptables.html
• http://blog.spoofed.org/2008/07/mitigating-dns-cache-poisoning-with-pf.html
• http://www.lesnouvelles.net/articles/virus/botnets-web-20