Diferència entre revisions de la pàgina «ASIX/M17/UF2/PT2»
(→Teoria) |
|||
| Línia 19: | Línia 19: | ||
Aquest atac pot fer-se de la mà d'un ''IP spoofing'' ja que des de la màquina atacant enviem peticions DNS a un servidor però posant l'adreça IP origen=adreça IP de la víctima. D'aquesta manera, el servidor enviarà la resposta a la que serà la vćitima. Si això ho combinem amb un sistema distribuït que faci vàries peticions des de diferents atacants cap a la mateixa víctima, podria utilitzar-se com a atac DDOS (''Distributed Denial-Of-Service'') fent que, tal com he dit abans, la víctima es saturi i pugui perdre la connectivitat de xarxa. | Aquest atac pot fer-se de la mà d'un ''IP spoofing'' ja que des de la màquina atacant enviem peticions DNS a un servidor però posant l'adreça IP origen=adreça IP de la víctima. D'aquesta manera, el servidor enviarà la resposta a la que serà la vćitima. Si això ho combinem amb un sistema distribuït que faci vàries peticions des de diferents atacants cap a la mateixa víctima, podria utilitzar-se com a atac DDOS (''Distributed Denial-Of-Service'') fent que, tal com he dit abans, la víctima es saturi i pugui perdre la connectivitat de xarxa. | ||
| + | |||
| + | =====Mitigació===== | ||
| + | Una opció per a mitigar aquests atacs seria, en el cas de posseir un servidor DNS públic a Internet: | ||
| + | *Limitar l'ample de banda dedicat al servidor: de manera que no sigui "atractiu" pels atacants per a ser usat com a ''relay'' d'un atac destinat a una víctima. Les consultes i respostes DNS són paquets petits que no requereixen gaire ''bandwidth'', pel que es pot definir en un marge raonable perquè el DNS no respongui ràpid en cas d'atac destinat a una altra màquina. | ||
| + | *No oferir recursivitat a adreces IP que no correponguin a la xarxa local: de manera que no faci consultes a altres servidors DNS si li arriba una petició d'un ''hostname'' que no està a la seva zona. Mentre que la xarxa local podrà fer-ho perquè és necessari. | ||
| + | |||
| + | En el cas de voler-nos protegir com a víctimes: | ||
| + | *Podem utilitzar Firewalls d'alt nivell per a filtrar el trànsit DNS que no hagi estat demanat (ja que arriben respostes DNS a ''queries'' que no hem fet nosaltres). | ||
====Cas pràctic==== | ====Cas pràctic==== | ||
Revisió del 21:22, 21 març 2019
Contingut
Requeriments
- Crear una MV amb CentOS o qualsevol altre SO de servidor. Instal·lar un servei de DNS.
- Crear una MV amb qualssevol SO.
- MV amb Kali
Enunciat
- 1. Descriu i mostra un possible atac de DNS Amplification
- Com funciona? Mostrar un atac.
- Com solucionar-lo. Mostrar la solució.
- 2. Descriu i mostra un possible atac de DNS Spoofing
- Com funciona? Mostrar un atac.
- Com solucionar-lo. Mostrar la solució.
Procediment
DNS Amplification
Teoria
Un atac de DNS apmplification consta en atacar una víctima amb paquets de resposta DNS que no ha demanat; de manera que saturem la targeta de xarxa de la màquina víctima. A més a més, si aquestes respostes DNS estan "sobrecarregades" amb més dades com per exemple una consulta tipus _all_, o una petició de transferència de zona DNS, tindrem paquets més grans que arribaran a la víctima i que aquesta no podrà gestionar i podria arribar a quedar congelada o desconnectada de la xarxa.
Aquest atac pot fer-se de la mà d'un IP spoofing ja que des de la màquina atacant enviem peticions DNS a un servidor però posant l'adreça IP origen=adreça IP de la víctima. D'aquesta manera, el servidor enviarà la resposta a la que serà la vćitima. Si això ho combinem amb un sistema distribuït que faci vàries peticions des de diferents atacants cap a la mateixa víctima, podria utilitzar-se com a atac DDOS (Distributed Denial-Of-Service) fent que, tal com he dit abans, la víctima es saturi i pugui perdre la connectivitat de xarxa.
Mitigació
Una opció per a mitigar aquests atacs seria, en el cas de posseir un servidor DNS públic a Internet:
- Limitar l'ample de banda dedicat al servidor: de manera que no sigui "atractiu" pels atacants per a ser usat com a relay d'un atac destinat a una víctima. Les consultes i respostes DNS són paquets petits que no requereixen gaire bandwidth, pel que es pot definir en un marge raonable perquè el DNS no respongui ràpid en cas d'atac destinat a una altra màquina.
- No oferir recursivitat a adreces IP que no correponguin a la xarxa local: de manera que no faci consultes a altres servidors DNS si li arriba una petició d'un hostname que no està a la seva zona. Mentre que la xarxa local podrà fer-ho perquè és necessari.
En el cas de voler-nos protegir com a víctimes:
- Podem utilitzar Firewalls d'alt nivell per a filtrar el trànsit DNS que no hagi estat demanat (ja que arriben respostes DNS a queries que no hem fet nosaltres).
