Вопросы Теги

Нападения на DNSSEC MITM

Опция 2 (CQWP) является способом пойти, но потребуется определенная настройка.

После указания на CQWP на список необходимо изменить "Тип Библиотеки", чтобы быть "Библиотекой Страницы Wiki", или данные не обнаружатся правильно. Это принимает значение по умолчанию к "Библиотеке Страниц", которая не работает на Wiki.

До добавления Вашего пользовательского поля необходимо отредактировать код CAML для веб-части и отредактировать полевые данные. Вот учебная страница с разделом по тому, как сделать это (заголовок раздела, "Изменяют CQWP для Включения Дополнительных Данных"): www.heathersolomon.com/blog/articles/CustomItemStyle.aspx

Кроме того, вот технические детали из MSDN при настройке CQWP: msdn.microsoft.com/en-us/library/aa981241.aspx

5
задан 2 August 2009 в 11:12
2 ответа

MITM не невозможен, просто требуется намного больше усилия. Из-за процесса проверки целостности Keith и Nik указали, необходимо будет имитировать не только целевой домен example.com, но также и .com и. (после того как это подписывается). Что означает, что простое отравление кэша больше не будет работать, необходимо полностью ниспровергать весь поток сопоставителя цели.

Это работает как SSL большим количеством способов. Корневой домен имеет записи подписывающего лица делегации, которые используются, чтобы проверить, что дочерний домен (.com в этом случае) сопоставитель является действительно корректным сопоставителем. Это повторяется для каждого дочернего домена, пока Вы не добираетесь до имени хоста. Фактические работы процесса проверки наоборот, в нем повышается дерево, пока это не добирается до неподписанного уровня и проверяет оттуда. Взломщики DNS должны будут фальсифицировать все дерево сопоставителя до корня со знаком (быть этим .com или.) для следования. Поэтому получение подписанного корня DNS является таким грандиозным предприятием.

Многие из как DNSSEC улучшает безопасность, путем создания его намного тяжелее, чтобы подать неправильные данные в кэши сопоставителя и улучшить сопротивление тому, чтобы играть в игры с процессом транзакции DNS между клиентами и законными сопоставителями. Полностью поставленный под угрозу сервер DNS все еще возвратит неправильные данные, даже если бы это будет использовать DNSSEC и встроенную перезапись прокси, запросы DNS на проводе должны были бы фальсифицировать каждый запрос DNS не только намеченные, но и это - более трудная проблема для решения в целом; а также тяжелее войти в место во-первых.

7
ответ дан 3 December 2019 в 01:08
  • 1
    Таким образом, если Вы управляете рекурсивным сервером для нерекурсивного клиента (и многие клиенты являются not' t) затем можно ли имитировать? Я предполагаю, что необходимо доверять серверу, на который Вы полагаетесь для своих рекурсивных взлетов взгляда. –  David Pashley 2 August 2009 в 10:58
  • 2
    @david That' s о праве. Хотя похоже, что Windows 7 будет иметь материал DNSSEC в нем, поэтому даже that' ll берут некоторый jiggery pokery для создания работы (для Windows так или иначе). –  sysadmin1138♦ 2 August 2009 в 19:18
  • 3
    для разъяснения MITM почти невозможные, и конечно непрактичный с данными компьютерами и раскалывающимися алгоритмами. Строго говоря DNSSEC является " end-to-end" только если клиентский конец делает свою собственную проверку. –  Alnitak 2 August 2009 в 22:54
  • 4
    почему более трудно фальсифицировать целое дерево хотя? –  Bill Gray 3 August 2009 в 02:34

Эта статья объясняет это немного. Быстрый отрывок: Что такое DNSSEC?

  • DNSSEC является предложенным интернет-стандартом, который изменяет ресурсные записи DNS и протоколы для обеспечения безопасности для запроса и транзакций ответа, сделанных между сопоставителями доменного имени и серверами имен. А именно, безопасность, которую обеспечивает DNSSEC, включает:

  • Проверка целостности: сопоставитель DNS может решить, что в информацию, полученную от сервера имен, не вмешались в транзитной Исходной аутентификации: сопоставитель DNS может решить, что полученная информация произошла из авторитетного сервера имен

  • Аутентифицируемый отказ существования: сопоставитель DNS может проверить, что конкретный запрос неразрешим, потому что никакая запись DNS на самом деле не существует на авторитетном сервере имен

4
ответ дан 3 December 2019 в 01:08
  • 1
    I' чтение ve на нем, но все еще don' t видят, почему нападение MITM не возможно. –  Bill Gray 2 August 2009 в 07:11
  • 2
    Ничто не невозможно, но (несмотря на Ваши предыдущие утверждения) взламывание 1 024 битов +, ключи RSA являются очень, очень, очень трудными. That' s, что это берет для выполнения нападения MITM. –  Alnitak 3 August 2009 в 00:41
  • 3
    Взламывание ключей на 1 024 бита, как показывали, не было этим трудно. Это, вероятно, частично, почему ключи имеют 30-дневное время жизни. Мой вопрос, почему необходимо даже взломать ключи? Почему can' t я просто передаю поддельные ключи для всех ключей? –  Bill Gray 3 August 2009 в 09:36
  • 4
    потому что подпись для каждого ключа хранится в родительской зоне (запись DS). И корень zone' s ключ загружен офлайн (из полосы) и предварительно сконфигурирован в Вашем сервере DNS. –  Alnitak 3 August 2009 в 13:49
  • 5
    DNSSEC полагается на начальную загрузку начальной доверительной привязки (идеально это для корня, когда it' s подписался позже в этом году). That' s единственное слабое место, в котором поддельному ключу можно было бы верить, следовательно почему системы распределения для этого полагаются на внеполосные механизмы и PGP и т.д. –  Alnitak 4 August 2009 в 19:34

Теги

Похожие вопросы