Еженедельник Свет в Интернет

Главная

Новости

Статьи и обзоры
  Горожанин
  Обнинск в Internet
  Web Design
  Hardware
  Software
  Безопасность
  Серфинг
  Игродром
  Relax
  Технологии
  Web-обзор
  Интернет-ликбез
  Опросник
  УП-Технологии
  ART.net

Ссылки

Архив

О нас

Контакты

Форумы


Основатель:
К.Николаенко

Главный Редактор:
С.Коротков

Web Design:
Neutron


Наш спонсор






Порт POPULAR.RU
POPULAR.RU RegionalBanner Network.






Океан


НПП Метра - промышленные электронные автомобильные вагонные весы
Goldy Interior - салон офисной мебели: кабинеты руководителей, мебель для персонала

= Безопасность =

DNS-СПУФИНГ: КАК ПОДМЕНИТЬ ВАШ IP-АДРЕС

miller miller@bratva.ru

 

Что такое dns? DNS - это база данных, содержащая записи с описанием имен, IP-адресов и другой информации о хостах. Она (база) находится на серверах DNS, связанных с Инетом и частными сетями Intranet. Короче, :) DNS предоставляет сетевым приложениям услуги каталога по преобразованию имен в адреса, когда им требуется определить местонахождение конкретных серверов. Например, имя DNS используется каждый раз при отправке сообщения электронной почты или доступе к www.

DNS-spoofing - это обычный и самый простой, по моему мнению, накол dns, блок преобразования имён dns, использующий неверную информацию, принятую от хоста, который не отвечает за эту информацию. Во как! :)))) Пакет dns имеет 16-битный идентификационный номер (далее просто id). Id - часть dns-пакета, которая позволяет идентифицировать dns-пакет, проходящий через 53-й порт.

Id - это единственный способ различить запросы dns. В случае с BIND, этот номер увеличивается на один уровень для каждого запроса. Нападение, подобное TCP seq id, может быть сделано, хотя это гораздо труднее. Даже если BIND не может кэшировать информацию, которую вы посылаете, он передаст ответ к оригинальному хосту. В случае ircd сделает запрос на PTR в ответ к хосту, соединяющемуся с ним, пакет ответа может быть сформулирован таким образом, чтобы содержать дополнительную информацию, из которой ircd будет делать внутреннее кэширование. Для этой атаки нужен доступ root'a на сервере dns, ответственном за in-addr.arpa блок информации dns.

Также ircd может кэшировать только один домен. Существует ещё одна атака, так как id состоит из 16 битов. Пользователь сумел бы перебрать весь idspace. Для того чтобы подделать свой dns, допустим, на DALNet'e, нужно послать 65000 сгенерированных запросов на ns-сервер, и как только компьютер получит ответ на запрос, нужно будет прочитать пакет, и в нём будет написан правильный id. Как только получите id, нужно найти какой-нибудь "packet creation tool", чтобы сделать dns-пакет. Остается только подделать dns-пакет, послать на ns.dal.net и получить спуфнутое (спуфинг - подмена реального IP-адреса) TCP соединение.

Существуют разные типы записей. Такие как: a,ptr,ns,cname,soa,hinfo,mx,txt,pr,loc и т.д.

SOA (Start Of Authority) - заголовок зоны
NS (Name Server) - сервер DNS
A (Address) - IP-адрес (host => ip)
MX (Mail Exchanger) - обработчик почты
CNAME (Canonical Name) - каноническое имя
PTR (Pointer) - запрос по обратной зоне, reverse mapping(ip => host)

Запрос в этом случае должен состоять из имени домена, а не отдельного хоста. Если первоначальный запрос был spoof.hax0r.com, нужно сделать a,cname или ns-записи для spoof.hax0r.com, указывающего на информацию, которую вы хотите кэшировать. bind будет его кэшировать, так как это связано с первоначальным запросом. Обязательно нужно держать соединение с irc-сервером, так как при рассоединении Dal.net проверяет reverse и forward dns, и, замечая, что они не совпадают, не разрешает использовать имя хоста, и вместо хоста высвечивается настоящий ip. Все dns-записи по умолчанию находятся в директории /var/named

; type domain source file

cache.root.cache
primary x25.cc x25.db
secondary nerf.ru nerf.db

В файле /usr/named/x25.db для каждого имени хоста из домена x25.cc указан ip-адрес и dns records.

====================/usr/named/x25.db====================
@ IN SOA ns.x25.cc. root.ns.x25.cc. (
2002042002 ; Serial
3600 ; Refresh
1200 ; Retry
604800 ; Expire
8640 ) ; Minimum

IN NS ns.x25.cc.
IN NS ns.nameserver.com.
IN MX 10 mail.x25.cc.
IN A 127.0.0.1
localhost IN A 127.0.0.1
====================/usr/named/x25.db====================

Первая линия отвечает за настройку домена, как часто обновлять, expire date и т.д.

ns - name server
mx - mail exchange
a - adress

Следует так же взглянуть на файл /etc/named.conf - это конфигурация named. В нём прописаны опции, зоны и пути файлов, такие как x25.db.

Некоторые DNS-spoof-триксы можно проделывать, например, с помощью утилиты ADM-spoof.c от ADM team.

P.S. Также кто хочет потренироваться в хакинге, прошу на quest.gipshack.ru. Серьезная вещь, прикольно =)

P.P.S. В статье использованы материалы www.nerf.ru

Новости из мира хакинга =)

1. Обновленная система безопасности, примененная в игровой приставке Xbox, продержалась менее трех недель. На сайте GamesIndustry.Biz сообщается, что хакеры взломали защиту игровой приставки практически сразу же, как только новые модели устройства появились на рынке.

Усовершенствованную защиту Xbox взломала британская группа хакеров, добившаяся значительных успехов в установке операционной системы Linux на игровую приставку. Взлом защиты Xbox, скорее всего, приведет к тому, что производители мод-чипов (микросхем, использующихся для обхода защиты от запуска неавторизованного ПО на приставке) в ближайшее время выпустят новую модель модификационных устройств.

Примечательным фактом является то, что несколько хакеров, работающих над взломом средств защиты в Xbox, считают, что игровая приставка используется компанией Microsoft в качестве "испытательного полигона" для технологии Palladium - программно-аппаратного решения для компьютеров будущего, препятствующего незаконному копированию мультимедийного контента, защищенного авторским правом. (http://www.compulenta.ru/)

2. Компания Yahoo предупредила пользователей своих интернет-сервисов о том, что неизвестные мошенники могут попытаться заполучить номера их кредитных карт. Причиной тому послужила массовая почтовая рассылка, произведенная неизвестными лицами от имени Yahoo. В письмах содержалось уведомление о необходимости оплаты услуг Yahoo и запрашивался номер кредитной карты. Вскоре после этой акции мошенников Yahoo разослала своим пользователям предупреждение о том, что от ее имени действуют неизвестные злоумышленники. Сама компания никогда не запрашивает номера кредитных карт по электронной почте, а использует более надежные и безопасные средства. По всей видимости, мошенники пытаются сыграть на том, что Yahoo постепенно вводит все больше и больше платных услуг. Часть из них является более удобными версиями существующих бесплатных сервисов. Многие услуги, ранее бывшие бесплатными, переводятся на платную основу, а кроме того, Yahoo постоянно вводит совершенно новые коммерческие сервисы. (http://www.compulenta.ru/)

Copyright © Свет в Internet   Designed by Свет в Internet