Page 1

Ralise par : ??? Lattaque DNS Spoofing

Page 2

Spoofing de lidentificateur DNS. Prsentation Lattaque DNS Spoofing Lempoisonnement du cache DNS. Outils de simulation. Dmonstration. Prvention et dtection de lattaque. Agenda

Page 3

1- Introduction Un serveur de nom fait la rsolution des noms en adresses IP. Il est lun des composantes les plus critiques dans un rseau. La ncessit de mettre en place un serveur de nom dans un rseau vient du fait que le serveur principal (souvent chez le fournisseur daccs Internet) pourra tre non disponible. Lorsquune machine sur Internet envoie une requte un serveur de nom pour avoir ladresse IP dune adresse, www.cfmoti.ma par exemple, le serveur de nom va rpondre avec ladresse IP correspondante sil est responsable de ce nom de domaine, sinon il va interroger un serveur externe qui gre ce nom de domaine. Pour minimiser le nombre de requtes vers des serveurs externes, le serveur de nom enregistre les rponses reues dans un cache.www.cfmoti.ma Une zone DNS dfinie en gnral un domaine. Chaque zone possde ses propres machines contenues dans cette zone et ses propres paramtres. Le serveur qui gre une zone est appel le serveur de nom primaire, pour chaque serveur primaire, on pourra trouver plusieurs serveurs secondaire. Ces serveurs rcuprent les informations concernant une zone priodiquement. Cette rcupration d'information est appele transfert de zone.

Page 4

2- Lattaque DNS Spoofing. DNS Spoofing est un terme gnrique qui dsigne plusieurs techniques qui ont comme objectif la redirection des machines sur le rseau vers des fausses adresses. Dans ce contexte on pourra citer deux types dattaque, lempoisonnement du cache du serveur de nom et le Spoofing de lidentificateur DNS.

Page 5

2.1- Lempoisonnement du cache DNS. Dans ce cas le pirate a son propre domaine fsts.ma, avec son propre serveur de nom dns.pirate.com. Le pirate va jouer dans la configuration de son serveur, il va assigner des serveurs connus comme par exemple www.cfmoti.ma une adresse IP dun autre serveur, ou tout simplement de lun de ses serveurs. Le pirate commence lattaque par demander au serveur de nom victime la rsolution de www.fsts.ma, le serveur de nom va contacter le serveur de nom responsable de ce domaine quest dns.fst.ma. Le serveur de nom dns.fst.ma ne va pas fournir seulement ladresse IP correspondante mais il va lui fournir tous les autres enregistrements (inclut celui de www.cfmoti.ma) travers un transfert de zone. Le cache du serveur victime est donc empoisonn. La figure 2.1 rsume lattaque.

Page 6

Figure 2.1 : lempoisonnement du cache du serveur de nom.

Page 7

2.2. Spoofing de lidentificateur DNS. Le client assigne chaque requte envoy vers un serveur de nom un identificateur de requte. Cet identificateur doit figurer dans la rponse. Une rponse est valide si les deux identificateurs sont identiques. Le pirate essaie de capturer une requte vers le serveur de nom, puis envoie une fausse rponse la machine qui demande la rsolution en utilisant le mme identificateur.

Page 8

3. Outils de simulation. Nous allons simuler lattaque Spoofing de lidentificateur DNS en utilisant lutilitaire dnsspoof qui fait partie de la mme suite doutils dsniff. Il rpond des requtes diriges vers un serveur de nom en utilisant des fausses adresses. Loption -f de dnsspoof permet de spcifier un fichier hosts qui contient ces fausses correspondances nom_domaine/Adresse_IP.

Page 9

4. Dmonstration. Le tableau 3.3 donne ladresse IP de chaque machine quon va utiliser dans notre simulation. Tableau 4.1 : les adresses IP des machines participants lattaque. MachinePirateVictimeServeur DNS Serveurweb Adresse IP192.168.1.2 00 192.168.1.10 3 192.168.1. 102 192.168.1.10 0

Page 10

4. Dmonstration. La figure 4.1 montre le fichier hosts qui contient les fausses rponses qui vont tre utilises par loutil dnsspoof.

Page 11

4. Dmonstration. Nous dmarrons lattaque en excutant la commande dnsspoof f hosts, voir la figure 4.2.

Page 12

4. Dmonstration. Puis nous envoyons un Ping vers le serveur Serveurweb partir de la station Victime. - Voir la figure 4.3-. La machine Victime reoit la rponse partir de dnsspoof et envoie le Ping la machine 192.168.1.200, au lieu de 192.168.1.100 qui est ladresse IP relle de la machine Serveurweb.

Page 13

4. Dmonstration. La figure 4.4 montre un autre test partir de lexplorateur. Au lieu dafficher la page web du serveur Serveurweb, le client a t redirig vers le serveur web du pirate.

Page 14

5. Prvention et dtection de lattaque. Un serveur de nom doit tre configur pour ne pas rsoudre directement les noms des htes sur lequel il na pas lautorit, de cette faon le serveur de nom contrle toutes les rponses pour voir selles possdent une autorit. La mise en place dun systme de dtection dintrusion est aussi importante, surtout que ce type dattaque est souvent combin dautres attaques rseau comme lempoisonnement de la cache ARP.

Page 15

Merci Pour Votre Attention