Posted in Pentest on July 24th, 2008 by m313
No voy a dedicarme a aprovechar este ya conocido bug para hacer un post que lo explique en detalle y así salvar mi ritmo de publicación de al menos un par de post al mes. Más interesante que contar lo ya contado y recontado es escribir de manera ordenada los recursos que conozco a día de hoy para detectar este problema, auditarlo e incluso explotarlo, sin pasar por algo recomendaciones y soluciones al mismo. Vamos allá.
Si quieres saber si un servidor es vulnerable:
1. Herramienta web del propio Dan Kaminsky.
2. Script en perl para lanzar contra un servidor DNS.
Para detectar si se está sufriendo un ataque de este tipo hay un par de reglas para Snort muy valiosas que ha publicado recientemente Emerging Threats:
1. DNS Poisoning Signature
2. New DNS Vulnerability
Para explotar esta vulnerabilidad tenemos también dos recursos muy buenos de la mano de los chicos de Computer Academic Underground en forma de exploits para el Metasploit:
1. Kaminsky DNS Cache Poisoning Flaw Exploit.
2. Kaminsky DNS Cache Poisoning Flaw Exploit for Domains.
Para los administradores solo hay una recomendación:
1. ¡¡ Actualiza tus servidores DNS !! Hay parches desde hace días para cualquier servidor DNS.
Para los usuarios hay varias posibles opciones:
1. Comprueba mediante las herramientas comentadas anteriormente que el servidor DNS que utilizas no es vulnerable.
2. En caso de que lo sea te recomiendo migrar a uno que no lo sea, un buen paso sería la migración a OpenDNS. Si no sabes que es OpenDNS te recomiendo darte un paseo por el blog SBD.
ACTUALIZADO 24/07/2008:
Me entero de una nueva herramienta para comprobar si tu servidor DNS es vulnerable. Ha sido desarrollada por Pandalabs y es un ejecutable para Windows.