yurikhan | Приснится же такое

Снилось мне, что я участвую в расследовании какой-то сетевой атаки. И то ли нам слали, то ли мы запрашивали что-то с IP-адресов, каких в принципе не может быть. И эти запросы проходили и давали какие-то нежелательные последствия.

Ну и ключевой инсайт, после которого картинка сложилась, был в духе «123.456.78.90 не может быть IP-адресом, значит, это DNS-имя».

Забавно, что наяву две разные версии спецификации URI разрешают эту неоднозначность грамматики по-разному. RFC 2369 §3.2.2:

[…]The rightmost domain label of a fully qualified domain name will never start with a digit, thus syntactically distinguishing domain names from IPv4 addresses[…]

RFC 3986 §3.2.2:

The syntax rule for host is ambiguous because it does not completely distinguish between an IPv4address and a reg-name. In order to disambiguate the syntax, we apply the “first-match-wins” algorithm: If host matches the rule for IPv4address, then it should be considered an IPv4 address literal and not a reg-name.

и ниже:

IPv4address = dec-octet "." dec-octet "." dec-octet "." dec-octet

dec-octet   = DIGIT                 ; 0-9
            / %x31-39 DIGIT         ; 10-99
            / "1" 2DIGIT            ; 100-199
            / "2" %x30-34 DIGIT     ; 200-249
            / "25" %x30-35          ; 250-255

Таким образом, по более новому RFC 123.456.78.90 — это действительно доменное имя (а в старом — таки IPv4-адрес).

S	M	T	W	T	F	S
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Most Popular Tags

anime - 7 uses
banking - 6 uses
books - 3 uses
chgk - 7 uses
cn.ru - 2 uses
css - 3 uses
dom.ru - 2 uses
dreamwidth - 3 uses
excel - 2 uses
far manager - 3 uses
firefox - 5 uses
ftp - 3 uses
fun - 2 uses
games - 2 uses
git - 4 uses
go - 7 uses
graphviz - 2 uses
hard - 17 uses
household - 9 uses
html - 3 uses
idiots - 7 uses
jabber - 2 uses
japanese - 4 uses
json - 2 uses
keyboards - 5 uses
life - 22 uses
linux - 10 uses
lj - 7 uses
mail - 7 uses
mts - 2 uses
networks - 5 uses
office - 3 uses
phone - 5 uses
photo - 8 uses
puns - 4 uses
scripting - 2 uses
security - 3 uses
skills - 3 uses
soft - 61 uses
sql - 2 uses
syntax - 2 uses
typography - 2 uses
unicode - 4 uses
usability - 25 uses
web - 12 uses
work - 11 uses
xkb - 2 uses
xml - 5 uses
бюрократия - 2 uses
стандарты - 2 uses

Flat | Top-Level Comments Only

From:

vitus_wagner

Я просто попробовал представить себе сценарий этой атаки здесь и сейчас.
Пожалуй я могу себе представить перехват управления DNS-сервером upstream-провайдера, который сделает такую атаку возможной.

yurikhan

В наших нынешних реалиях DNS-сервер провайдера нередко сам является инструментом атаки.

Ну вот, если он таковым является, то атака вполне реальна.

Но можно еще на промежуточном роутере завернуть вообще весь DNS-траффик - хоть к корневым серверам, хоть к серверам Гугля, куда-нибудь к себе и оттуда отвечать.

Один из моих провайдеров (Дом.ru, чтоб ему было стыдно) проводит обе атаки. Если пользоваться его DNS-сервером, то отдаёт на некоторые имена подставной IP’шник, а если обращаться через его маршрутизаторы к гугловому и другим публичным, то перехватывает и тоже отдаёт подставной IP’шник.

Это, правда, атаки против доступности некоторых внешних серверов, а во сне было наоборот — атака на доставку какого-то вредоносного контента.

Блокнотик Centaur’а

Приснится же такое

Приснится же такое

no subject

no subject

no subject

no subject

Profile

August 2018

Links

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags