Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Adatrejtés a DNS-ben

2008.12.18. 18:47 | buherator | 4 komment

Dan Kaminsky egyik BlachHates előadásán megemlített ötlete alapján Landon Fuller elkészített egy kis programot, melynek segítségével a DNS rendszeren keresztül lehet üzeneteket váltani. 

Mindez ugyan őrültségnek tűnhet (az is), de a megoldás szépsége miatt azt hiszem érdemes rá szánni néhány percet:

A kommunikálni készülő feleknek szükségük lesz egy közös szótárra, egy inicializáló vektorra (IV), egy rekurzív, gyorsítótárazó névszerverre, valamint egy wildcard DNS zónára.

A DNS kérésekben beállítható az úgynevezett RD (Recursion Desired) flag, ami 1-re állítva engedélyezi a rekurziót, 0-ra állítva pedig értelemszerűen letiltja azt, így a szerver csak a saját, helyi gyorsítótárában tud keresni.

A küldő oldalon csapjuk hozzá az üzenetünkhöz annak pl. 8 biten ábrázolt hosszát, és az így keletkezett bitsorozat minden bitjéhez válasszunk egy-egy nevet a wildcard zónából a szótárunk és az IV segítségével. Ezek után az 1-es bitekhez tartozó neveket kérjük el rekurzívan a névszervertől.

Ekkor a névszerver gyorsítótárába bekerülnek ezek a nevek.

A fogadó oldalon a szótár és az IV segítségével generáljuk le az előzővel megegyező bit-név megfeleltetéseket tartalmazó listát, majd kezdjük el nem-rekurzívan lekérdezni ezeket a közösen használt szervertől! A kiszolgáló azokat a neveket fogja megtalálni (a saját gyorsítótárában), amelyeket a küldő is lekérdezett, ezek lesznek tehát az 1-es bitek, a többi pedig maradhat 0. Voila, az üzenet előállt!

Címkék: móka dns blackhat kaminsky

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Lionking 2008.12.22. 13:45:56

Létezik erre valami megoldás? Én ettől a nyomorúlt DNS átírosditól szenvedek már egy ideje, de nagyon, és hát végignéztem kismillió oldalt, de mindenhol mást írnak megoldásnak. A Symantec oldalán konkrétan olyan registry bejegyzésre akar rávenni, hogy töröljem, ami az én rendszeremben nem is létezik. (ndisprot) valamint nincs ndisprot.sys sem a system32\drivers könyvtárban. Lehet, hogy én valami mást kaptam el?

Lionking 2008.12.22. 13:48:41

Ja. Mellesleg lehet, hogy azért sem tud sok ember erről, holott már régen meg van fertőzve a gépe, mert egy átlag user sosem veszi észre, hogy a DNS átíródott. Én sem vettem volna észre ha nem proxy alól vagyok, és nem hal meg a netem emiatt. Egyébként meg az okos spyware programokat is próbálgattam ezrével, és bár volt amelyik megtalálta a registry-ben a 85.255.113.123-as IP-t, sé törölte is, de minek, mert valami ronda program újra beírta, hiába indítottam újra a gépet. Szóval már most látom, hogy egy egyszerű registry pucolás nem lesz megfelelő a baj orvosolására.

Lionking 2008.12.22. 13:50:30

bocsánat, de nagyon mellément! nem ide szántam. Na mind1. A hozzászólásokat meg nagy mérgemben a másik oldalon el is felejtettem elolvansi. Remélem találok ott megoldást. Bocsi még1szer.
süti beállítások módosítása