Sim, o DNS que seu provedor te passa para navegar será que ele foi corrigido do Bug do DNS (CVE-2008-1447)?
O que é esse Bug, informação em português.
Vulnerabilidade no protocolo DNS afeta múltiplas implementações.
Falha crítica no sistema de nomes de domínios da internet é reparada.
http://idgnow.uol.com.br/seguranca/2008/07/09/falha-critica-no-sistema-de-nomes-de-dominios-da-internet-e-reparada/
Tem algum Teste para saber?
Sim, tem um Teste feito para se saber se o seu DNS que o seu provedor te passa esta corrigido, caso ele não esteja, sem pânico, se pode usar um gratuito como o OpenDNS, que esse esta ok, eu testei aqui.
O Teste.
Vamos ao teste, entre nessa pagina e clique na imagem, Test My DNS, ele vai abrir uma pagina depois de alguns segundos com o resultado, se aparecer POOR (Vermelho) não foi corrigido, GOOD (Amarelo) ok, foi corrigido, GREAT (Verde) ok, esta muito bom(corrigido).
https://www.dns-oarc.net/oarc/services/dnsentropy
Se aparecer o POOR (Vermelho), vai na parte de cima da pagina do teste, e copie todo o texto ali, essa parte ele te da o resultado em modo texto, ai mande para o seu provedor junto do link do teste.
Corrigir esse problema pelo usuário.
Se o teste deu POOR (Vermelho), se pode corrigir colocando um outro DNS, por exemplo o OpenDNS.
http://www.opendns.com/
Como fazer.
Eu uso Debian Etch, acredito que nos outros Linux não deve ser muito diferente.
Quando se conecta por DHCP, ele atribui um IP e o DNS, isso automaticamente, se apenas se colocar o DNS, quando se conectar ele apaga e coloca o do provedor.
Para resolver isso, eu usei essa forma.
Esteja desconectado, vai na parte de configuração da rede, tanto o gnome(network-admin) como o kde (pacote: knetworkconf) (Menu /Centro de Controle /Internet & Rede / Configurações de Rede) tem bons programas para isso em modo gráfico.
Coloque ai o DNS do OpenDNS.
https://www.opendns.com/start
Nessa pagina esta os números do DNS dele.
Eu uso o dhcp3-client, assim edite esse arquivo /etc/dhcp3/dhclient.conf
Procure essa linha com esse conteúdo.
#prepend domain-name-servers 127.0.0.1;
Agora coloque abaixo dessa linha essa linha, ai já esta o DNS do OpenDNS.
supersede domain-name-servers 208.67.222.222,208.67.220.220;
salve e conecte a net, veja se esta funcionando a rede e depois repita o teste com esse DNS e veja o que da.
Apesar de não trabalhar na área e meu inglês não ser muito bom, conheço a parte teórica, ao pessoal que trabalha na área se tiver alguma coisa errada, post com a correção.
Em Inglês Sobre o Bug do DNS.
CVE-2008-1447, DNS Insufficient Socket Entropy Vulnerability.
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-1447
VU#800113, Multiple DNS implementations vulnerable to cache poisoning.
http://www.kb.cert.org/vuls/id/800113
TA08-190B, Multiple DNS implementations vulnerable to cache poisoning.
http://www.us-cert.gov/cas/techalerts/TA08-190B.html
ICANN, Highlights Domain Name System Vulnerability; Releases Tools.
http://www.icann.org/en/announcements/announcement-06aug08-en.htm
ICANN, has produced a tool that can check a particular domain.
http://recursive.iana.org/
For Internet users, online testing tool provided by the DNS Operations, Analysis and Research Center.
https://www.dns-oarc.net/oarc/services/dnsentropy
DNS-OARC, The DNS Operations, Analysis, and Research Center.
https://www.dns-oarc.net/
ICANN, Internet Corporation for Assigned Names and Numbers.
http://www.icann.org/
Postagens
5 comentários:
Só um alerta: isso não é uma correção, apenas uma forma de mitigar, ou melhor, dificultar o ataque. Servidores continuam sendo envenenados mesmo com a "correção", só que é necessário muito mais tempo e conexão mais rápida.
O defeito é de projeto do DNS, não há solução simples.
Obrigado Juliano pelo comentário.
Olha essa matéria falando sobre o que você disse.
http://idgnow.uol.com.br/seguranca/2008/08/11/pesquisador-apresenta-novo-ataque-que-ameaca-sistemas-dns/
Pelo que eu conheço de programas eles tentam rapidamente arrumar dentro do possível, se não for possível arrumar, se faz assim tipo um quebra galho, até se arrumar definitivamente e naturalmente isso depende da complexidade do problema.
Uma outra coisa que acho importante colocar (minha opinião) junto do que você comentou é que uma boa equipe seja em DNS ou qualquer outra área faz a diferença.
Pois se conhecerem bem, vão configurar bem, assim se tendo um bom serviço e com uma boa segurança.
Na verdade o problema já tem uma solução, DNSsec. Espero que este problema com o DNS adiante um pouco a implementação do dnssec no Brasil.
E se o danado do cara que envenenou o DNS do seu provedor colocou um endereço falso para o site do "www.dns-oarc.net" criando uma estrutura idêntica que só vair responder "GREAT (Verde)" para qualquer consulta?
Anônimo.
É uma possibilidade, mas como se tem muitos provedores e muitos servidores de DNS, e tem pessoas com experiência, mesmo que alguém faça isso, algumas pessoas vão perceber a pagina falsa, por exemplo da uma olhada no link.
http://idgnow.uol.com.br/seguranca/2008/07/30/criador-de-malware-para-dns-e-vitima-de-201cenvenenamento-de-cache201d/
Postar um comentário