Utiliser udpsnoop pour identifier l’origine d’une requête DNS

Posted by on 01 Mar 2010 | Tagged as: solaris

Ayant récemment déployé une infrastructure DNS, j'ai été confronté à quelques serveurs Solaris réalisant des requêtes inattendues, et surtout en grand nombre. Malheureusement, obtenir l'identité des processus réalisant ces requêtes n'est pas simple, et il faut donc ruser quelque peu.

DTrace est d'une aide certaine sur ce sujet, mais même avec cet outil, il n'y a pas de solution directe : la résolution de noms n'est pas un appel système que l'on peut tracer simplement, mais est composée d'appel(s) à des librairies, qui sont nettement plus difficiles à tracer, et surtout actuellement impossibles à tracer en dehors du contexte d'un processus. On ne peut donc pas décider simplement de tracer tous les appels à la libresolv du système, par exemple ...

Continue Reading»

Exploitation malicieuse du protocole DNS

Posted by on 16 Mar 2008 | Tagged as: sécurité

Article publié en 2002 dans MISC 4, co-écrit avec Eric Detoisien.

L'un des services à la fois le moins visible et le plus important d'Internet est le Domain Name System, ou tout simplement DNS. Du fait de son omniprésence, c'est une cible de choix pour un certain nombre d'attaques. Nous ne reviendrons pas ici sur le principe du DNS. Pour une rapide présentation, le lecteur se reportera à l'article L'homme du milieu[1] dans ce même numéro, et pour une étude plus approfondie, à l'excellent ouvrage DNS et BIND[2]. Nous allons en revanche présenter un peu plus en détails certains aspects du protocole qu'il est important de bien visualiser pour comprendre les différentes attaques possibles. Continue Reading»