[FUG-BR] Problema resolvido Falha de DNS está longe de ser resolvida

Marcelo Gardini do Amaral marcelo em registro.br
Quarta Julho 30 16:45:00 BRT 2008 

O buraco é mais embaixo!

O bug é do protocolo DNS, não do bind. Com randomização das portas de
origem das consultas e do query ID, fica muito difícil um ataque de
envenenamento de cache, mas não impossível.

Tanto o "bind com patch" quanto o djbdns fazem randomização das portas
de origem. A solução definitiva para o problema do protocolo só vem
com o DNSSEC. E isso o djbdns não suporta.

Se vocês querem ter uma idéia da possibilidade de um ataque desse tipo
pesquisem por "birthday attack" [1][2].


[1] http://en.wikipedia.org/wiki/Birthday_problem
[2] http://en.wikipedia.org/wiki/Birthday_attack


Marcelo



On Wed, Jul 30, 2008 at 04:32:44PM -0300, Eduardo Schoedler wrote:
> Instale o djbdns para isso... parece que ele não foi afetado pelo bug.
> 
> Abraço.
> 
> 
> --------------------------------------------------
> From: "Marcelo Gardini do Amaral" <marcelo at registro.br>
> Subject: Re: [FUG-BR]Problema resolvido Falha de DNS está longe de ser 
> resolvida
> 
> Solução? Desabilitar a recursão resolve o problema, mas aí você vai
> ter que decorar o endereço IP de todos os sites que você acessa :-)
> 
> 
> Marcelo
> 
> 
> On Wed, Jul 30, 2008 at 09:13:32AM -0300, root at zoioroxo.com.br wrote:
> > Segue a solucao pra resolver
> > http://www.vivaolinux.com.br/dica/Desabilitando-DNS-Recursivo/
> >
> > http://products.secureserver.net/scripts/rdnsfix
> >
> > Agora execute com o comando:
> >
> > # php -c /r rdnsfix
> >
> > Se a resposta for parecido com esta abaixo, parabéns!
> >
> > Checking this file for recursive DNS: /etc/named.conf
> > Nothing to do, recursive DNS is already disabled.
> >
> >
> >
> >
> >
> >
> >
> > > No DNS CACHE também não houve problema:
> > >
> > > "200.X.Y.Z is GREAT: 31 queries in 5.8 seconds from 31 ports with std 
> > > dev
> > > 17363.67"
> > >
> > >
> > >
> > >> -----Original Message-----
> > >> From: Aristeu Gil Alves Jr
> > >> Subject: Re: [FUG-BR]Falha de DNS está longe de ser resolvida
> > >>
> > >> Os problemas seriam com os cache resolvers/dns recursivos (dnscache) e
> > >> não com os autoritativos (tinydns).
> > >>
> > >> 2008/7/28 Renato Frederick <frederick at dahype.org>:
> > >> > Os testes que fiz com meu dns autoritativo rodando DJB, não 
> > >> > apresentou
> > >> > falha.
> > >> >
> > >>
> > >> Em princípio, o cache resolver do DJB não tem problema. Claro, tudo
> > >> tem um limite. Com o aumento da banda e do poder computacional, o que
> > >> parecia impossível fica possível. O problema é que o DJB tem ojeriza
> > >> ao DNSSEC. Quando esse dia chegar epero que ele, ou alguma RFC que ele
> > >> goste, apareça pra resolver o problema. Vamos aguardar pra ver. Por
> > >> enquanto estamos bem!
> > >>
> > >> --
> > >> Aristeu Gil Alves Jr 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd