DNSSEC MITM атаки

Question

DNSSEC MITM атаки

Что делает DNSSEC невосприимчивым к атаке MITM?

Почему я не могу подписать ключ для example.com и передать его разрешающему серверу имен или клиенту, прежде чем они получат его из реального источника?

5

domain-name-system security dnssec

Источник

Bill Gray 02 авг '09 в 03:00

2 ответа

Другие вопросы по тегам domain-name-system security dnssec

sysadmin1138 02 авг '09 в 06:36 2009-08-02 06:36 · Answer 1 · 2009-08-02 06:36

MITM не невозможен, просто требует гораздо больше усилий. Из-за процесса проверки целостности Кит и Ник указали, что вам придется подделывать не только целевой домен example.com, но также.com и. (как только он будет подписан). Это означает, что простое отравление кэша больше не будет работать, вам придется полностью разрушить весь поток распознавателя цели.

Он работает как SSL во многих отношениях. В корневом домене есть записи подписывающего делегирования, которые используются для проверки того, что распознаватель дочернего домена (в данном случае -.com) действительно правильный распознаватель. Это повторяется для каждого дочернего домена, пока вы не получите имя хоста. Фактический процесс проверки работает в обратном порядке: он поднимается вверх по дереву до тех пор, пока не достигнет уровня без знака, и подтвердит оттуда. Злоумышленникам DNS придется подделать все дерево распознавателя вплоть до подписанного корня (будь то.com или.), Чтобы добиться успеха. Вот почему получение DNS-рута с подписью является такой большой проблемой.

Многое из того, как DNSSEC повышает безопасность, значительно усложняет подачу неверных данных в кэши распознавателей и повышает устойчивость к играм с процессом транзакций DNS между клиентами и законными распознавателями. Полностью скомпрометированный DNS-сервер будет по-прежнему возвращать неверные данные, даже если он использует DNSSEC, а встроенный прокси-сервер, переписывающий DNS-запросы по сети, должен был бы подделывать каждый отдельный DNS-запрос, а не только предполагаемые, но решить эту проблему сложнее в общем; а также сложнее попасть на место в первую очередь.

Keith 02 авг '09 в 03:13 2009-08-02 03:13 · Answer 2 · 2009-08-02 03:13

Эта статья объясняет это немного. Небольшой фрагмент: что такое DNSSEC?

DNSSEC - это предлагаемый интернет-стандарт, который модифицирует записи ресурсов DNS и протоколы для обеспечения безопасности транзакций запросов и ответов, выполняемых между определителями доменных имен и серверами имен. В частности, безопасность DNSSEC включает в себя:
Проверка целостности: распознаватель DNS может определить, что информация, полученная от сервера имен, не была подделана при проверке подлинности источника: распознаватель DNS может определить, что полученная информация получена от авторитетного сервера имен.
Аутентифицированный отказ в существовании: распознаватель DNS может проверить, что конкретный запрос неразрешим, поскольку на авторитетном сервере имен фактически нет записи DNS.