web-dev-qa-db-fra.com

Usurpation DNS contre empoisonnement du cache DNS

Quelle est la différence entre l'usurpation DNS et l'empoisonnement du cache DNS ???

Il semble qu'il y ait peu de différences entre deux attaques, à l'exception du fait que le serveur DNS pourrait en fait mettre en cache la "fausse" réponse d'un serveur DNS malveillant.

11
newprint

Malgré ce que Wikipedia peut dire, ils ne sont pas les mêmes. En gros, l'empoisonnement du cache DNS est une façon de faire de l'usurpation DNS, mais il existe également d'autres façons de le faire.

L'usurpation DNS fait référence à la grande catégorie d'attaques qui usurpent les enregistrements DNS. Il s'agit d'une catégorie d'attaques (un objectif final de l'attaque plutôt qu'un mécanisme d'attaque particulier). Il existe de nombreuses façons différentes d'usurper le DNS: compromettre un serveur DNS, monter une attaque d'empoisonnement du cache DNS (telle que attaque Kaminsky contre un serveur vulnérable), monter une attaque homme au milieu (si vous pouvez accéder au réseau), devinez un numéro de séquence (peut-être faire de nombreuses demandes), soyez une fausse station de base et mentez sur le serveur DNS à utiliser, et probablement beaucoup plus.

L'empoisonnement du cache DNS est une façon d'effectuer l'usurpation DNS. L'empoisonnement du cache DNS fait référence au scénario suivant: de nombreux utilisateurs finaux utilisent le même cache DNS et un attaquant parvient à injecter une entrée DNS falsifiée dans ce cache. Par exemple, de nombreux FAI exécuteront un serveur DNS de mise en cache et feront en sorte que leurs clients (les utilisateurs finaux) essaient tous le serveur du FAI en premier. Si un attaquant peut trouver un moyen pour que le serveur DNS de mise en cache mette en cache un enregistrement incorrect, l'attaquant est défini: il a réussi à usurper avec succès les enregistrements DNS et à affecter tous les utilisateurs finaux qui dépendent de ce cache.

Comment un attaquant parvient-il à empoisonner un cache DNS? Eh bien, une façon courante consiste à monter une attaque d'usurpation DNS sur la demande DNS du cache vers le serveur DNS ultime. Oui, je me rends compte que cela devient un peu récursif. :-) Fondamentalement, vous utilisez n'importe quelle attaque d'usurpation DNS pour que le cache accepte un enregistrement usurpé (ici, vous pouvez utiliser n'importe quelle attaque d'usurpation DNS que vous pouvez). Par la suite, le résultat est que le cache mettra en cache ce faux enregistrement, et par conséquent de nombreux utilisateurs finaux accepteront désormais également cet enregistrement usurpé.

15
D.W.